波场DApptronbank于4月11日凌晨1点遭受假币攻击。11日上午Beosin成都链安技术团队作出初步分析,判断该次假币攻击事件主要原因在于合约没有严格验证代币的唯一标识符代币ID,错误的将攻击者自己发行的无价值代币识别为价值85万元的BTT代币,从而造成了损失。同时及时发出预警,预判黑客团队未来可能将攻击重点转向波场。
原文标题:《BTT假币攻击事件细节披露及修复方案》
现针对此次事件,成都链安技术团队进一步作出深度分析。
首先,我们先看此次BTT假币攻击事件中的漏洞源码,如下图:
成都链安技术团队分析发现,该假币漏洞是由于invest函数只判断了msg.tokenvalue,而没有判断msg.tokenid是否为真实BTT代币的ID:1002000所导致。
法国农业信贷银行与意大利银行进行中小企业债券代币化试验:金色财经报道,意大利银行的Fintech Milano Hub正在进行一系列DLT试验,其中一项是针对意大利中小企业发行的债务工具,包括债券。代币化的债券解决方案由技术提供商BlockInvest领导,它得到了法国农业信贷银行的支持。它将涉及一个由农业信贷银行意大利分行、其财富管理子公司Indosuez、新银行Illimity和德勤组成的财团。
其目的是使个人能够投资于中小企业的债务工具。虽然发行将在公共区块链上进行(BlockInvest使用Ethereum和Polygon),但只有经认可的投资者才能购买代币。BlockInvest还旨在利用自己的区块链标准探索一个潜在的二级市场,以确保发行人的代币之间的互操作性。[2023/5/19 15:12:39]
TRC10标准是波场本身支持的技术代币标准,标准规定了两个重要参数:msg.tokenvalue和msg.tokenid。其中msg.tokenvalue表示当前msg调用的代币数量,而msg.tokenid表示当前调用者使用的代币种类标记ID。每种TRC10标准的代币都有一个独一无二的标记ID作为代币种类证明。
比特币链上NFT Bitcoin Frogs过去24小时交易额排名第一:金色财经报道,据CryptoSlam显示,比特币链上NFT系列Bitcoin Frogs在过去24小时内超过HV-MTL成为交易金额最大的的NFT系列,在717笔交易中产生超过220万美元的交易额。目前,在交易榜中,排名第一。[2023/5/18 15:10:06]
BTTBank合约在收取代币时没有对收到代币的tokenid做任何判断,合约中仅仅判断了msg发送代币的数量msg.tokenvalue。当合约收到调用者发送的代币数量msg.tokenvalue时,合约错误的认为该代币数量是BTT的数量。但实际上调用者使用的是假币tokenid为1002278的代币数量。BTTBank将假币视同于真币记录到投资者账号。
上海数据交易所明年将正式运行,酝酿上线数据国际板:金色财经报道,上海数据交易所总经理汤奇峰接受上证报采访时表示,上海数据交易所明年将正式运行,酝酿上线数据国际板。据上海数据交易所官方网站显示,当前上海数据交易所已上线25个数字资产,有8个数字资产发行方。[2022/11/25 20:45:28]
而攻击者账号TRC10代币中存在BTT和BTTx两种代币,可见两种代币的ID差异,BTT代币ID:1002000,BTTx代币ID:1002278。
攻击者于4月11日凌晨创建发行990,000,000,000,000,000个名为BTTx的假币
接着在假币创建完成后,攻击者将四千万创建的假币BTTx发送给四个攻击小号TB9jB76Bk4tk2VhzGAb6t1aCYgW7Z4iicY,TQM4uEWPQvVe2kGbWPZtVLMDFrTLERfmp4,TKp1stjapNqr4pkDQjU9GTitsYBUrKAGkh,TF2EWZJZSokGdtk4fj7PqCmuGpJasVXJ3K
Animoca Brands联创:The Sandbox月活超20万,熊市对链游影响较小:10月23日消息,The Sandbox所有者、Animoca Brands的联合创始人Yat Siu表示,尽管有报道称该平台每天只有大约500名活跃用户,但The Sandbox仍表现良好。The Sandbox实际上月活超20万,其他指标,如平台上创建的工作岗位数量以及游戏产生的收入,是更准确的衡量平台用户参与度的指标。The Sandbox的每个土地所有者都有50万到200万美元的钱包。
总体而言,Siu表示,与其他加密行业相比,加密市场熊市对区块链游戏的影响较小。(彭博社)
此前10月8日消息,根据DappRadar的数据,过去24小时,Decentraland活跃用户仅为38,The Sandbox活跃用户为522。
据悉,根据DappRadar的说法,活跃用户被定义为与平台智能合约交互的唯一钱包地址。这意味着DappRadar对每日活跃用户的统计并没有考虑到那些登录并在元宇宙平台上闲逛或短暂参加某个活动的用户。
Decentraland回应表示,最近,有很多关于Decentraland活跃用户数量的错误信息。一些网站仅跟踪特定的智能合约交易,但将其报告为每日活跃用户DAU,这是不准确的。[2022/10/24 16:36:26]
当攻击小号收到假币后,攻击者又调用BTTBank合约有缺陷的invest函数。
Meta解散负责任创新团队:金色财经报道,据《华尔街日报》报道,Meta解散了其负责任创新团队,该团队曾是其解决产品潜在负面问题的重要一环。该团队包括大约24名工程师、伦理学家和其他人员,他们与内部产品团队、外部隐私专家、学者和用户合作,以确定和解决对新产品和Facebook及Instagram变更的潜在问题。Meta发言人Eric Porterfield表示,大多数团队成员将继续在Meta其他部门从事类似的工作,不过不保证他们都会有新的工作。
金色财经此前报道,美国参议员就加密货币欺诈问题对Meta首席执行官扎克伯格进行了质问。[2022/9/10 13:21:21]
接下来在触发invest函数后,BTTBank项目方将大量BTT转入了预先设置的投资账号TPk,TT4,TGD,这笔资金实际上未被黑客获得,但项目方在没有收到BTT的情况下进行了真实的投资。
下图为源码中对三个投资地址的具体设置代码:
BTTBank投资的三个投资账号中都收到了大量BTT代币,如下图所示。
黑客触发invest函数后通过withdraw函数取到了BTTBank奖励池的真正的BTT代币,最终四个小号将赃款集中转向黑客主账号TCX1Cay4T3eDC88LWL7vvvLBGvBcE7GAMW
攻击者账户中的BTT赃款和攻击使用的假币BTTx如下:
此外,成都链安技术团队对在Github上开源的其他项目方代码进行检查,发现还有其他项目方存在此安全问题:如下为有问题的合约地址:TF3YXXXXXXXXXXXXXXXXXXXXXXXWt3hx
TKHNXXXXXXXXXXXXXXXXXXXXXXXAEzx5
TK8NXXXXXXXXXXXXXXXXXXXXXXXZkQy
TUvUXXXXXXXXXXXXXXXXXXXXXXXxLETV
TG17XXXXXXXXXXXXXXXXXXXXXXXkQ9i
因此Beosin成都链安呼吁广大项目方提高警惕予以重视,检查自己的合约是否存在上述安全漏洞,并及时进行更新。
发生原因:
据Beosin成都链安技术团队分析,上述问题的发生存在两个方面的原因:1)开发者对波场代币的使用机制研究不足,可能套用了以太坊的代币使用方法;2)攻击者在迁移其它公链上存在的攻击方式,如EOS已经存在的假币攻击方式。
修复意见:对此,Beosin成都链安技术团队建议:项目方在收取代币时应同时判断msg.tokenvalue和msg.tokenid是否符合预期。并给出该漏洞代码修复方式,如下:
Invest函数增加代码:require(msg.tokenid==1002000);require(msg.tokenvalue>=minimum);minimum是最小投资额
同时,Beosin成都链安提示:黑客团队未来可能将攻击重点转向波场,波场公链的DApp市场高度繁荣但一直未曾遭到过eos公链级别的高强度攻击,攻击者目前主要是将其他公链上已成熟的攻击方式迁移到波场并进行大范围攻击测试,寻找安全防护较为薄弱的合约,此阶段后,攻击者可能更进一步深度挖掘波场本身可能被利用的机制,进行更高强度和威胁的攻击。
并且Beosin成都链安也建议各大项目方加强合约的安全防护级别和安全运维强度,尽量防范未然,避免不必要的损失,必要时可联系第三方专业审计团队,在上链前进行完善的代码安全审计,共同维护公链安全生态。
本文来源于非小号媒体平台:
Beosin成都链安
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3627175.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
PeckShield深入代码层面分析,黑客究竟如何盗走1.7亿BTT?
下一篇:
上线3小时即被盗走1.7亿BTT:TronBank未审计代码致假币攻击
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。