XXX:少写一行代码的教训：TronBank 1.7 亿 BTT 仅 3 小时就被洗劫一空_BTTR币

波场DApptronbank于4月11日凌晨1点遭受假币攻击。11日上午Beosin成都链安技术团队作出初步分析，判断该次假币攻击事件主要原因在于合约没有严格验证代币的唯一标识符代币ID，错误的将攻击者自己发行的无价值代币识别为价值85万元的BTT代币，从而造成了损失。同时及时发出预警，预判黑客团队未来可能将攻击重点转向波场。

原文标题：《BTT假币攻击事件细节披露及修复方案》

现针对此次事件，成都链安技术团队进一步作出深度分析。

首先，我们先看此次BTT假币攻击事件中的漏洞源码，如下图：

成都链安技术团队分析发现，该假币漏洞是由于invest函数只判断了msg.tokenvalue，而没有判断msg.tokenid是否为真实BTT代币的ID：1002000所导致。

WAVES EVM L2引导工作将于下周开始:金色财经报道，Waves创始人Sasha.waves在其社交平台表示，在即将推出的WAVES EVM L2中，当前WAVES矿工将成为L2交易的验证者，以获得新的激励，可以根据不同的激励措施启动多个L2，引导工作将于下周开始。[2023/7/23 15:53:22]

TRC10标准是波场本身支持的技术代币标准，标准规定了两个重要参数：msg.tokenvalue和msg.tokenid。其中msg.tokenvalue表示当前msg调用的代币数量，而msg.tokenid表示当前调用者使用的代币种类标记ID。每种TRC10标准的代币都有一个独一无二的标记ID作为代币种类证明。

BTTBank合约在收取代币时没有对收到代币的tokenid做任何判断，合约中仅仅判断了msg发送代币的数量msg.tokenvalue。当合约收到调用者发送的代币数量msg.tokenvalue时，合约错误的认为该代币数量是BTT的数量。但实际上调用者使用的是假币tokenid为1002278的代币数量。BTTBank将假币视同于真币记录到投资者账号。

Coinbase允许使用巴西雷亚尔购买加密货币:金色财经报道，Coinbase表示，已整合巴西政府的支付系统 Pix，并开始允许使用巴西雷亚尔购买加密货币。与拥有超过 1.4 亿用户的 Pix 的合作是通过与巴西端到端支付处理商 Ebanx 的合作实现的。除了使用当地货币购买外，客户还可以提取巴西雷亚尔。

此外，Coinbase 表示其应用程序完全提供葡萄牙语版本，并提供 24 小时支持。[2023/3/21 13:17:39]

而攻击者账号TRC10代币中存在BTT和BTTx两种代币，可见两种代币的ID差异，BTT代币ID：1002000，BTTx代币ID：1002278。

攻击者于4月11日凌晨创建发行990,000,000,000,000,000个名为BTTx的假币

Amber Group：Mai Finance金库曾存在严重重入漏洞，项目方已部署新预言机合约:金色财经报道，Amber Group发文称，其区块链安全团队于10月18日在零利率贷款协议Mai Finance的两个金库（SCSEMVT和YCSEMVT）中发现一个严重重入漏洞。该漏洞将允许攻击者操纵抵押品价格，从池中借入所有资金并提走资金。

Amber Group在10月19日联系QiDao团队后，QiDao在10月20日提出解决方案并部署一个新的预言机合约。[2022/12/21 21:57:13]

接着在假币创建完成后，攻击者将四千万创建的假币BTTx发送给四个攻击小号TB9jB76Bk4tk2VhzGAb6t1aCYgW7Z4iicY，TQM4uEWPQvVe2kGbWPZtVLMDFrTLERfmp4，TKp1stjapNqr4pkDQjU9GTitsYBUrKAGkh，TF2EWZJZSokGdtk4fj7PqCmuGpJasVXJ3K

Beosin：黑地址FTX Accounts Drainer已对大额资产进行兑换转移跨链等操作:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，截止2022年11月15日，黑地址FTX Accounts Drainer(0x59AB...32b)已对大额资产进行兑换转移跨链等操作。

目前大部分资金位于账户FTX Accounts Drainer的ETH平台，约228,523 个ETH($288,934,108)和8,184 个PAXG($14,395,174)。BSC平台约108,454 个BNB($29,962,644) 和1,685,309 个DAI($1,686,562) 。

其他部分资金位于ETH上的FTX Accounts Drainer 2账户上，约1999.4 个PAXG($3,516,404)，FTX Accounts Drainer 3账户上约499 个PAXG($878,114)，FTX Accounts Drainer 4账户上约499 个PAXG($878,114)，其它链上的资产目前尚无异动，Beosin Trace将持续对黑地址异动进行监控。[2022/11/16 13:09:37]

当攻击小号收到假币后，攻击者又调用BTTBank合约有缺陷的invest函数。

以太坊合并后，期货和现货价格之间的溢价几乎为零:金色财经报道，据Skew 提供的数据显示，以太坊合并后，期货和现货价格之间的溢价从20美元下降到几乎为0。加密期权交易所Deribit上市的 1 个月以太坊期货的年化滚动折价从转换前的17.66%收窄至 0.3%。在 Kraken、OKX和芝加哥商品交易所上市的期货折扣也大幅收窄。三个月期期货在包括币安在内的主要交易所与现货价格持平或略有溢价。

Deribit首席商务官Luuk Strijers表示，现货和期货之间的差价约为 20 美元，这很好地表明了 ETHPOW 的潜在价值。区块链分叉是变化的结果。这种负基差（现货溢价）现在已降至 30 美分左右。[2022/9/15 6:58:49]

接下来在触发invest函数后，BTTBank项目方将大量BTT转入了预先设置的投资账号TPk，TT4，TGD，这笔资金实际上未被黑客获得，但项目方在没有收到BTT的情况下进行了真实的投资。

下图为源码中对三个投资地址的具体设置代码：

BTTBank投资的三个投资账号中都收到了大量BTT代币，如下图所示。

黑客触发invest函数后通过withdraw函数取到了BTTBank奖励池的真正的BTT代币，最终四个小号将赃款集中转向黑客主账号TCX1Cay4T3eDC88LWL7vvvLBGvBcE7GAMW

攻击者账户中的BTT赃款和攻击使用的假币BTTx如下：

此外，成都链安技术团队对在Github上开源的其他项目方代码进行检查，发现还有其他项目方存在此安全问题：如下为有问题的合约地址：TF3YXXXXXXXXXXXXXXXXXXXXXXXWt3hx

TKHNXXXXXXXXXXXXXXXXXXXXXXXAEzx5

TK8NXXXXXXXXXXXXXXXXXXXXXXXZkQy

TUvUXXXXXXXXXXXXXXXXXXXXXXXxLETV

TG17XXXXXXXXXXXXXXXXXXXXXXXkQ9i

因此Beosin成都链安呼吁广大项目方提高警惕予以重视，检查自己的合约是否存在上述安全漏洞，并及时进行更新。

发生原因：

据Beosin成都链安技术团队分析，上述问题的发生存在两个方面的原因：1）开发者对波场代币的使用机制研究不足，可能套用了以太坊的代币使用方法；2）攻击者在迁移其它公链上存在的攻击方式，如EOS已经存在的假币攻击方式。

修复意见：对此，Beosin成都链安技术团队建议：项目方在收取代币时应同时判断msg.tokenvalue和msg.tokenid是否符合预期。并给出该漏洞代码修复方式，如下：

Invest函数增加代码：require(msg.tokenid==1002000)；require(msg.tokenvalue>=minimum)；minimum是最小投资额

同时，Beosin成都链安提示：黑客团队未来可能将攻击重点转向波场，波场公链的DApp市场高度繁荣但一直未曾遭到过eos公链级别的高强度攻击，攻击者目前主要是将其他公链上已成熟的攻击方式迁移到波场并进行大范围攻击测试，寻找安全防护较为薄弱的合约，此阶段后，攻击者可能更进一步深度挖掘波场本身可能被利用的机制，进行更高强度和威胁的攻击。

并且Beosin成都链安也建议各大项目方加强合约的安全防护级别和安全运维强度，尽量防范未然，避免不必要的损失，必要时可联系第三方专业审计团队，在上链前进行完善的代码安全审计，共同维护公链安全生态。

本文来源于非小号媒体平台：

Beosin成都链安

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3627175.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

PeckShield深入代码层面分析，黑客究竟如何盗走1.7亿BTT？

下一篇：

上线3小时即被盗走1.7亿BTT：TronBank未审计代码致假币攻击

标签：XXXBTTTOKEMSGXXX币BTTR币Sentiment Tokenmsg币怎么交易

火币交易所热门资讯