TronBank 2673万TRX被盗事件回顾

区块链达人 行业
2019-05-05 16:18:25

  

5月4日,DappReview发文称,北京时间5月3日凌晨4点12分,一笔神奇的合约调用转走了TronBank合约中的2673万TRX(价值427万RMB),合约余额归零。

 

发生被盗事件约2个小时之后,调走这一笔2673万TRX的地址THeRTT**拥有者wojak现身了。根据wojak的说法,他写了个脚本在分析波场虚拟机字节码,批量扫描合约并发起交易看看有没有什么能赚到钱的方法,结果偶然之中命中了Tronbank合约的bug。

 

 

一开始连他自己都不知道这笔钱是从Tronbank打过来的。 社区里部分人建议wojak把钱还给Tronbank开发者,而wojak认为这不是他的问题,开发者应该自己写测试例子,做审计以及至少跑一些形式化验证(很显然他们啥都没干),他愿意把这笔钱原封不动还给Tronbank的每一个投资者,而不是项目方的开发者。

 

根据已有的信息,断定“是开发者在合约之中放置后门”这个结论仍然为时过早,目前可以得出的客观结论只有两点:1. TRX Pro在主网的合约中存在后门;2. TSC上认证过的代码与实际合约运行逻辑不符。

 

据PeckShield数字资产护航系统数据显示,截止目前,波场TronBank Pro遭黑客洗劫损失的2,673万个TRX ,已经有1,300多万个TRX流入币安交易所。

 

PeckShield安全人员深入剖析发现:

1、第三方服务平台TSC在04月28日即TronBank Pro合约上线前就已经知道“后门”的存在,先于28日下午17:35部署了和TronBank Pro同样的测试合约,并于当天晚上23:00向TronBank Pro合约发出攻击尝试。

基于此可得出两个可能性结论:1)TronBank Pro项目方在合约上线前就已经知悉项目存在漏洞,但依然上线了合约;2)第三方服务平台TSC发现了问题并没有告知项目方,并存在伺机“攻击”的可能性。

 

 

2、第三方服务平台TSC在项目合约上线后即04月30日上午10:12 再次向测试合约实施攻击攻击并取得成功。基于此可展开分析推论:1)TSC并没有即刻对项目合约实施攻击,可能在等待资金池壮大伺机而动;2)TSC在开始下手前,意外被其他黑客截胡,抢先一步实施了攻击;3)暂且未发现TSC和实施攻击黑客wojak之间存在关联。

 

针对于昨日波场公链上某DAPP被盗事件,孙宇晨在微博上表示,波场TRON基金会非常重视,连夜检测市面上第三方检测工具,特此向广大开发者与用户做出以下提示:经过波场核心开发团队排查确认, 第三方机构tronsmartcontract.space 目前并没有采用正确的合约验证方法, 波场TRON官方团队认为,其不能达到验证代码开源的效果. 不建议社区采纳和信任 tronsmartcontract.space 的验证结果。


本文地址: https://www.xiguacaijing.com/news/xingye/2019/6802.html
声明:本文经授权发布,除注明来源外,均为西瓜财经用户投稿,不代表西瓜财经立场。转载请注明:西瓜财经(xiguacaijing.com)
提醒:投资有风险,入市需谨慎。若内容涉及投资建议,仅供参考勿作为投资依据。谨防以“区块链”名义进行非法集资。
赞助商

区块链达人

区块链达人

认证作者

传播区块链资讯!传递区块链价值!

相关推荐