新闻来源连结： https://www.blocktempo.com/tron-dapp-tronbank-was-fishing-170mln-btt 波场 Dapp TronBank 遭到假币攻击，於一小时之内遭窃约 1.7 亿颗 BTT DappReview 的数据监测，波场 Dapp TronBank 在 4 月 11 日凌晨遭到假币攻击，在 1 小时之内，遭窃约 1.7 亿颗 BTT，截至截稿为止，BTT 代币价格为 0.000725，遭窃的 BTT 约价值 123,250 美元。 悉，骇客创造了名为 BTTx 的假币，而 TronBank 的「invest 函数」只判断 msg.tokenvalue，而没有判断 msg.tokenid 是否为真的 BTT ID：1002000。因此骇客拿 到了真正 BTT 投资回报和推荐奖励，迅速掏空资金池。 备注：BTT ID：1002000 ；BTTx ID：1002278。 根据成都链安技术团队的分析，骇客攻击流程如下： 1. 骇客在 4 月 11 日凌晨创建发行 990,000,000,000,000,000 颗 BTTx 的假币（ID： 1002278） 2. 接着，将假币 BTTx 发送给 4 个攻击帐号。 3. 攻击帐号收到假币 BTTx 之後，骇客调用了有缺陷的 invest 函数。 4. TronBank 项目方将大量的 BTT 转入了预先设置的投资帐号 TPK、TT4、TGD， 这时候这笔资金尚未被骇客得到。 5. 接下来，骇客触发 invest 函数後，通过 withdraw 函数取得了 TronBank 奖励池中 真正的 BTT 代币。 而事情发生以後，TronBank 项目方在 4 月 11 日早上的 10：15 关闭了 BTT 的服务页 面，并在上面表示会针对损失进行全额赔偿： 为保证 TronBank 社区用户利益，截至新加坡时间 4 月 11 日 10点 15 分前， TronBank BTT 玩家由於合约漏洞所遭受的损失，TronBank 将对损失的 BTT ，全额进行 赔偿。」 https://i.imgur.com/uSzoqM9.png 而针对这个「假币攻击」，波场创办人孙宇晨在社群平台上表示此次攻击是 Dapp 的智能 合约本身就有漏洞，跟波场没有关系，波场的底层协议是完全安全的。 「波场 DAPP 出现的合约安全问题与波场协议本身没有任何关系，波场协议是完全安全可 靠的。链上数字资产完全安全！未来我们将联合安全企业和合作夥伴对开发者进行一定程 度的安全辅导，提升 DAPP 的安全性！」 https://i.imgur.com/f4Xm96Z.jpg 实际上类似攻击手法在 EOS 中也曾出现过，例如去年 9 月运行於 EOS 区块链的去中心 化交易所 Newdex 的假 EOS 事件：攻击者预先在 EOS 帐户中发行假的 EOS，并由实施攻 击的帐户使用假 EOS 挂单买入其他代币，再由其他帐户卖出代币，共诈取 4028 个 EOS 。 而针对此次攻击事件，据火星财经报导，Prehshield 创始人蒋旭宪表示这是项目方的责 任，这是一种新型、具有广泛性危害的漏洞，会危害多个 Dapp 的安全性，这与开发者有 关，因此相关合约开发者应该予以警惕。 评论： 因为Pcash可以进行公开交易，还是讲一下。 无论是ETH还是TRX, EOS, BCH的代币都一样， 直接看代号缩写是不准的，连我的metamask都有同缩写的代币JOY https://i.imgur.com/nq1mHsw.png 因为代币创建并没有限制名称不能一样，所以实际上可以完全照抄别人的。 代币要直接认token ID，像这两个JOY就有不同的Contract地址 https://etherscan.io/address/0xdde12a12a6f67156e0da672be05c374e1b0a3e57 https://etherscan.io/address/0xb8f5c0adc04ebbf0f40866c48959578aa9d86f8a Pcash ID: 1defd3975a2d0196272cdfc308ce80d1381686ed6f613e03538a60f163bb058e http://tinyurl.com/y3vltytv 确定ID是对的之後，可再记下图示。假如之後有收到图示不一样的币，就是假币。 https://i.imgur.com/2pSlDnT.png -- simpleledger:qryeahexpqszdt9ffech6jhxu6wsfp0fnyhgd44ahf Bitcoin: 1GxtyprMfcxE366BDUsg1skQyuAnxktZjc https://www.blockchain.com/zh/btc/address/1GxtyprMfcxE366BDUsg1skQyuAnxktZjc Bitcoin Cash: bitcoincash:qp928h4q4xasa5wh2x88xhsxgc4vwj6g95uzq0ak97 https://goo.gl/2qNr43 Ethereum: 0x4A2B1e35eb64141bbad4C58cB7D79692bC5Dbbc2 https://etherscan.io/address/0x4A2B1e35eb64141bbad4C58cB7D79692bC5Dbbc2 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.237.121.67 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1555313950.A.C48.html ※ 编辑: DarkerDuck (36.237.121.67), 04/15/2019 15:50:41 ※ 编辑: DarkerDuck (36.237.121.67), 04/15/2019 15:58:48 ※ 编辑: DarkerDuck (36.236.95.238), 05/02/2019 04:09:17