5月4日，DappReview发文称，北京时间5月3日凌晨4点12分，一笔神奇的合约调用转走了TronBank合约中的2673万TRX（价值427万RMB），合约余额归零。

发生被盗事件约2个小时之后，调走这一笔2673万TRX的地址THeRTT**拥有者wojak现身了。根据wojak的说法，他写了个脚本在分析波场虚拟机字节码，批量扫描合约并发起交易看看有没有什么能赚到钱的方法，结果偶然之中命中了Tronbank合约的bug。

一开始连他自己都不知道这笔钱是从Tronbank打过来的。 社区里部分人建议wojak把钱还给Tronbank开发者，而wojak认为这不是他的问题，开发者应该自己写测试例子，做审计以及至少跑一些形式化验证（很显然他们啥都没干），他愿意把这笔钱原封不动还给Tronbank的每一个投资者，而不是项目方的开发者。

根据已有的信息，断定“是开发者在合约之中放置后门”这个结论仍然为时过早，目前可以得出的客观结论只有两点：1. TRX Pro在主网的合约中存在后门；2. TSC上认证过的代码与实际合约运行逻辑不符。

据PeckShield数字资产护航系统数据显示，截止目前，波场TronBank Pro遭黑客洗劫损失的2,673万个TRX ,已经有1,300多万个TRX流入币安交易所。

PeckShield安全人员深入剖析发现：

1、第三方服务平台TSC在04月28日即TronBank Pro合约上线前就已经知道“后门”的存在，先于28日下午17:35部署了和TronBank Pro同样的测试合约，并于当天晚上23:00向TronBank Pro合约发出攻击尝试。

基于此可得出两个可能性结论：1）TronBank Pro项目方在合约上线前就已经知悉项目存在漏洞，但依然上线了合约；2）第三方服务平台TSC发现了问题并没有告知项目方，并存在伺机“攻击”的可能性。

2、第三方服务平台TSC在项目合约上线后即04月30日上午10:12 再次向测试合约实施攻击攻击并取得成功。基于此可展开分析推论：1）TSC并没有即刻对项目合约实施攻击，可能在等待资金池壮大伺机而动；2）TSC在开始下手前，意外被其他黑客截胡，抢先一步实施了攻击；3）暂且未发现TSC和实施攻击黑客wojak之间存在关联。

针对于昨日波场公链上某DAPP被盗事件，孙宇晨在微博上表示，波场TRON基金会非常重视，连夜检测市面上第三方检测工具，特此向广大开发者与用户做出以下提示：经过波场核心开发团队排查确认, 第三方机构tronsmartcontract.space 目前并没有采用正确的合约验证方法, 波场TRON官方团队认为，其不能达到验证代码开源的效果. 不建议社区采纳和信任 tronsmartcontract.space 的验证结果。