5月4日,DappReview发文称,北京时间5月3日凌晨4点12分,一笔神奇的合约调用转走了TronBank合约中的2673万TRX(价值427万RMB),合约余额归零。
发生被盗事件约2个小时之后,调走这一笔2673万TRX的地址THeRTT**拥有者wojak现身了。根据wojak的说法,他写了个脚本在分析波场虚拟机字节码,批量扫描合约并发起交易看看有没有什么能赚到钱的方法,结果偶然之中命中了Tronbank合约的bug。
一开始连他自己都不知道这笔钱是从Tronbank打过来的。 社区里部分人建议wojak把钱还给Tronbank开发者,而wojak认为这不是他的问题,开发者应该自己写测试例子,做审计以及至少跑一些形式化验证(很显然他们啥都没干),他愿意把这笔钱原封不动还给Tronbank的每一个投资者,而不是项目方的开发者。
根据已有的信息,断定“是开发者在合约之中放置后门”这个结论仍然为时过早,目前可以得出的客观结论只有两点:1. TRX Pro在主网的合约中存在后门;2. TSC上认证过的代码与实际合约运行逻辑不符。
据PeckShield数字资产护航系统数据显示,截止目前,波场TronBank Pro遭黑客洗劫损失的2,673万个TRX ,已经有1,300多万个TRX流入币安交易所。
PeckShield安全人员深入剖析发现:
1、第三方服务平台TSC在04月28日即TronBank Pro合约上线前就已经知道“后门”的存在,先于28日下午17:35部署了和TronBank Pro同样的测试合约,并于当天晚上23:00向TronBank Pro合约发出攻击尝试。
基于此可得出两个可能性结论:1)TronBank Pro项目方在合约上线前就已经知悉项目存在漏洞,但依然上线了合约;2)第三方服务平台TSC发现了问题并没有告知项目方,并存在伺机“攻击”的可能性。
2、第三方服务平台TSC在项目合约上线后即04月30日上午10:12 再次向测试合约实施攻击攻击并取得成功。基于此可展开分析推论:1)TSC并没有即刻对项目合约实施攻击,可能在等待资金池壮大伺机而动;2)TSC在开始下手前,意外被其他黑客截胡,抢先一步实施了攻击;3)暂且未发现TSC和实施攻击黑客wojak之间存在关联。
针对于昨日波场公链上某DAPP被盗事件,孙宇晨在微博上表示,波场TRON基金会非常重视,连夜检测市面上第三方检测工具,特此向广大开发者与用户做出以下提示:经过波场核心开发团队排查确认, 第三方机构tronsmartcontract.space 目前并没有采用正确的合约验证方法, 波场TRON官方团队认为,其不能达到验证代码开源的效果. 不建议社区采纳和信任 tronsmartcontract.space 的验证结果。
本文地址: https://www.xiguacaijing.com/news/xingye/2019/6802.html
赞助商