比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Coinw > Info

暗夜臨近,DApp江湖上演現實版"狼人殺"_QUO

Author:

Time:1900/1/1 0:00:00

"狼人殺"游戲里有一個規則,"狼人"可以在黑夜隨意殺人,在白天還能通過口舌雄辯來逃避"平民"的指認,最終兩面三刀殺光所有的"平民"贏得勝利。這兩天,DApp江湖里就上演了一個真實版"狼人殺"。一家名為TronBankPro的資金盤DApp被黑客洗劫了2,673萬個TRX,項目投資者"平民"蒙受了近500萬元的財產損失。然而,究竟誰是"狼人"?眾說不一,社區開始了激烈的討論。目前為止,出現了三種看似合理的故事主線:項目方"監守自盜",其合約代碼中留有"后門"。原因在于,項目方開源的代碼和實際執行的代碼并不一致,向合約發送0.011911TRX的withdraw()操作會觸發預留的后門,將合約余額全部取走。盡管TronBankPro發了公告否認了這種說法,但目前為止,為何會存在"后門"并沒有合理的解釋。項目方遭第三方驗證服務平臺TSC"算計"。根據區塊鏈安全公司PeckShield的深入分析,作為第三方服務平臺,TSC早在4月28日即項目合約上線前就發現了該"后門",并且成功實施了攻擊測試。但黑客代號wojak的用戶目前并未發現和TSC有任何關聯,一時間事情真相又陷入撲朔迷離。但可以斷定,第三方服務平臺TSC很難跟此事撇清關系了。黑客上演了"螳螂捕蟬黃雀在后"的精彩大戲。存在一種可能,TSC一早就命中了"后門",但礙于資金池尚未壯大起來遲遲沒有下手,然而躲在暗處的黑客wojak同樣發現了"后門",且搶先一步實施了攻擊。吊詭的是,wojak竟然還在事后現身說法,承諾將退還被盜資金,不過,因為種種原因,wojak很快又表態拒絕歸還,并已消失不見。如此任性且可愛的黑客,并不多見。PeckShield數字資產追蹤平臺介入了Tron平臺上的這起重大『安全事故』,并追蹤還原了事情的來龍去脈,盡可能的通過技術分析幫助受害投資者"平民"找到真相。至于以下講述的是天災還是人禍,留給讀者自行判斷。背景

數據:31個PEPE鯨魚地址持有14.8%的PEPE總量,總價值超過7000萬美元:金色財經報道,據推特用戶余燼監測顯示,PEPE從4月15日上線以來至今已上漲12.38萬倍,市值突破5億美元。根據整理的PEPE持倉大于1萬億枚的鯨魚地址成本與浮盈情況顯示:

1、31個地址持有14.8%的PEPE總量,總價值超過7000萬美元;

2、目前全部處于盈利狀態,無一虧損;

3、最低浮盈1.12倍,最高95,306倍。[2023/5/4 14:42:37]

朋友,你聽說過TronBankPro嗎?一種日收益固定1.8%-4.8%的區塊鏈投資產品,我們合約代碼開源,合約通過『知名』校驗機構tronsmartcontract.space(TSC)驗證與鏈上數據一致。雖然我們之前受到BTTBank假幣事件的攻擊,但我們是一個負責任的團隊,我們不會,跑路...小白投資者認為既然TronBank團隊之前發生過安全事件,想必這次應該會做好相應的合約審查工作,用戶從其官網上的確可以看到,這個團隊還是在『做事的』,相比其它未開源DApp來說,這個項目方竟然把源代碼都公布了出來,『還是值得信賴的』。不專業的TSC

由于缺乏官方的認證平臺,一些DApp開發者平著『向用戶負責』的態度,Tron平臺上大部分DApp合約使用了第三方平臺TSC的合約一致性校驗服務。PeckShield安全人員深入分析發現:TSC能幫DApp開發者驗證一些基礎安全保障,但TSC服務代碼自身尚不完備,不能保證校驗結果的可靠性。截止目前TSC審核通過的278個合約中,其合約源碼與Tron鏈上一致的僅為85個,不合格比例高達70%,如此高比例的不合格率,如何能獲得用戶和DApp開發者的認可?PeckShield安全人員和TSC開發者取得聯系之后,對方也坦言此項服務尚在建設初期,不能保障審計結果的可靠性。另外,Tron官方并未承認,也不建議社區采納和信任tronsmartcontract.space的驗證結果,見Tron孫老板的微博內容:搞鬼的TSC

Fineqia計劃完成最高74萬美元私募額:金色財經報道,加拿大數字資產公司與金融科技投資公司Fineqia宣布打算以0.01加元的價格進行最多100,000,000個單位的非經紀私募,總收益高達100萬加元(約74萬美元)。每個單位將包括一股Fineqia普通股和一份購買一股普通股的認股權證。每份認股權證可在發售結束后三年內以每股普通股0.05加元的行使價行使。Fineqia打算將私募的收益用于營運資金并縮減債務。

據悉,Fineqia已在加拿大公開上市(CSE:FNQ),在溫哥華和倫敦設有辦事處,其投資組合包括處于代幣化、區塊鏈技術、NFT和金融科技前沿的企業。(prnewswire)[2023/5/1 14:36:56]

PeckShield安全人員分析TSC官網,查找該站點是否存在被黑客攻擊的蛛絲馬跡,當訪問該站點『合約驗證』功能時,發現在這個關鍵時刻TSC出于某種原因關閉了。PeckShield安全人員與TSC維護者KhanhND69詢問相關事宜之后,對方表示之前的審計日志近期被刪除了,『合約驗證』功能關閉是由于當前在開發新版本的功能,這一舊功能已經下線。至于新功能何時上線,對方并未明確表示。至于TSC的說法是否合乎邏輯,動機是否單純,留待讀者自行品味。既然TSC只是一個『獨立』的代碼驗證平臺,那么他和這次TronBankPro被『盜』又有什么關系呢?通過GitHub上開源的后端驗證代碼:可以知曉,其驗證的流程如下:通過指定的合約地址從Tron鏈上獲取到合約的bytecodecreateByteCode;通過給定的合約源碼和編譯器版本編譯得到bytecodereCompileByteCode;根據reCompileByteCode長度獲取等長的createByteCode,然后按字節比較兩者的差異性;如果兩者差異的字節數<64,那么認為兩者是一致的,否則驗證失敗。上述的驗證流程簡單『實在』,小編對此次受『攻擊』的TronBankPro合約,即TSC開源的TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ源碼重新驗證,發現兩者無法匹配,差異非常之大,根本不可能滿足代碼中的條件。在此,小編認為TSC在此次『事故』中非常有可能不按套路出牌。另外,小編意外發現了以下幾個疑點:TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ合約驗證時間在北京時間2019-04-2822:51:32;而在同一天TSC將GitHub上面開源的所有已經驗證的合約的gitcommit歷史全部刪除了,號稱Dbbackup,刪除之后驗證的第一個合約就是TronBankPro的TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ合約,這怎么看都像是在搞事情:TSC#author頁面顯示,這一平臺的捐助者地址為TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr:天黑了

小摩高管:對大型機構投資者,加密貨幣作為資產類別幾乎不存在:金色財經報道,摩根大通資產管理的一位高級投資策略師表示,在加密貨幣跌宕起伏的過程中冷眼旁觀的基金經理或許正在為自己的這種做法感到寬慰。“作為一種資產類別,對于大多數大型機構投資者來說,加密貨幣實際上是不存在的,” 摩根資產管理的機構投資組合策略主管Jared Gross表示。“波動率太高,缺乏內在的回報,這讓其非常具有挑戰性。”Gross說,過去,人們曾經希望比特幣可以成為一種數字黃金或避險資產,可以提供通脹保護,但“不言而喻”這種情況沒有發生。[2022/12/24 22:04:15]

天黑了,所有人請閉眼,狼人出來殺人…仔細分析與TTX5N…這一地址有往來的其它地址信息,發現了一些比較有趣的故事,請聽小編慢慢道來。整個『事故』的時間線大體分為幾部分:準備期潛伏期收割期套現期看官,請看完整的故事情節:準備期

4.2817:35+UTC8TSC捐助者地址TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr創建了合約bytecode與后面出事的TronBankPro幾乎完全一樣的TBPro合約,合約地址為TYZ4oPdPmwZS9xTUXhnFtQkPFFTi2iAydz,對應的交易哈希為b20242bbabfc357f4e6f5d31641d350670c7be1a6536eef1133f344a29972f53,試問當時TronBankPro合約并未上線,那么TSC如何知道一個并未上線的合約內容?4.2822:48+UTC8TronBank項目方部署TBPro合約,合約地址為TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ,交易哈希為267a8671989e5e0cf30cc9a32eb8a74cfb0c106209dd8ac462211687280419b5;根據tronsmartcontract.verify/TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ/info.jsonatmaster·TSC/tronsmartcontract.verify中指定的時間,我們知道TronBankPro部署的TBPro在4.2822:51+UTC8『驗證通過』;;4.2823:00+UTC8TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr對TronBankPro部署的TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ合約發送withdraw()命令,并攜帶了0.011011TRX,對應的交易哈希為d6d89713ebdb98402ddfd1d454be394a5521c83b7d385ce2c394924a2b923c89。從區塊瀏覽器中可以看到,這一筆交易被REVERT,根據PeskShield安全人員分析認為原因是因為發送的withdraw()命令攜帶了TRX,這一點是可以理解的:withdraw()用于從合約中取回之前投資的TRX,這時攜帶了TRX過來的交易認為是『誤操作』,REVERT是合理的:潛伏期

跨鏈應用構建平臺Hyperlane完成1850萬美元融資:9月22日消息,跨鏈應用構建平臺 Hyperlane 宣布完成 1850 萬美元融資,Crypto Investor Variant 領投,Galaxy Digital、CoinFund、Circle、Figment、Blockdaemon、Kraken Ventures 和 NFX 參投。本輪融資將用于招聘、產品開發和安全,其中包括漏洞賞金和額外的審計。Hyperlane 平臺旨在為開發人員提供消息 API 和 SDK,以輕松構建可從任何區塊鏈訪問的應用程序。[2022/9/22 7:14:58]

等待著用戶投資蜂擁而至,合約資金池壯大。4.3010:12+UTC8TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr對自己部署的TYZ4oPdPmwZS9xTUXhnFtQkPFFTi2iAydz合約同樣發送攜帶了0.011011TRX的withdraw()命令,對應的交易哈希為4b8dd07afa029126f16c192e8eb8a158f883e80a6be1eceaa432247bb06ef6ab,同上一個操作,這一筆交易被REVERT;4.3010:12+UTC8在稍后的幾個區塊中,TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr對自己部署的TYZ4oPdPmwZS9xTUXhnFtQkPFFTi2iAydz合約同樣發送攜帶了0.011911TRX的withdraw()命令,對應的交易哈希為87bf173c126c4873ad333c02d4e352bacda9bfaae4d91d0bce156eb64bd5219f,而這一次卻成功了:這一次,不僅成功了,而且還從TYZ4oPdPmwZS9xTUXhnFtQkPFFTi2iAydz合約中轉了100.011911TRX到此次交易的發起方TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr。到此為止,好像并沒有太多的故事發生,不過好戲才剛剛開始...收割期

穆迪將Coinbase債務評級從Ba2下調至Ba3:金色財經消息,評級機構穆迪將Coinbase債務評級從Ba2下調至Ba3,并將其高級擔保票據評級從Ba1下調至Ba2。穆迪表示,債務評級下調是由于近幾個月加密資產價格急劇下跌以及客戶交易活動減少,Coinbase的收入和現金流量大幅下降。穆迪表示,盡管Coinbase裁員約1,100名但其盈利能力仍將面臨挑戰。根據穆迪的數據,截至2022年3月31日,Coinbase擁有61億美元的現金和現金等價物,相對于該公司34億美元的長期債務(其中包括20億美元的高級擔保票據)。(CoinDesk)[2022/6/24 1:28:40]

5.1假期總是那么地來去匆匆,在小編還在家帶娃的時間里,TronBankPro合約已經吸引了近1600+用戶近30,000,000TRX的投資:折合當前的市價為700,000美元。眼看就到了豐收期,可是05.0304:12+UTC8有一個稱號為wojak的黑客THeRTTCvN4SHEVYNqcLVLNGGVsWLR4smyH通過與TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr在上面一致的操作半路截胡了,并成功『取回』2600W+TRX。至于wojak黑客到底是誰,目前無人知曉。具體的交易哈希如下:基于此,PeckShield安全人員認為TSCTTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr部署的TYZ4oPdPmwZS9xTUXhnFtQkPFFTi2iAydz合約與TronBankPro部署的TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ合約均存在后門,至于后門是如何被安插的,被誰安插的,還不得而知。PeckShield安全人員對TYZ4oPdPmwZS9xTUXhnFtQkPFFTi2iAydz和TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ合約逆向代碼之后,發現其中的withdraw()邏輯中存在下面一段代碼:不難看出,withdraw()根據msg.value即攜帶的TRX大小分為三種情況:0x2B03==msg.value16進制的0x2B03轉換成十進制之后為11011Sun(由于TRX==10^6Sun),等價于0.011011TRX。這個值剛好就是上面TSCTTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr測試時攜帶的TRX值。這個分支下,并不改變狀態,交易輸出OK,并最后以REVERT退出,這一行為與上面交易的返回信息一致,PeckShield安全人員認為這個分支代碼是開發者故意留下的調試功能,以確認合約的邏輯是否符合預期。0x2E87==msg.value:16進制的0x2E87轉換成十進制之后為11911Sun(由于TRX==10^6Sun),等價于0.011911TRX。這一值與TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr以及THeRTTCvN4SHEVYNqcLVLNGGVsWLR4smyH調用的值是相等的。這一分支下,將本合約中所有的TRXbalance全部轉移到調用發起者,一點不剩。其它情況,正常的withdraw()取回操作。在此,PeckShield安全人員認為,上述的0.011011TRX以REVERT退回的『誤操作』實則是黑客進行攻擊之前的測試環節。套現期

黑客THeRTTCvN4SHEVYNqcLVLNGGVsWLR4smyH獲取2600W+TRX之后,開始分批次分步驟轉移資產:其中,截止北京時間2019-5-519:00共有1,4000,000TRX轉移至Binance交易所。天亮了

以上純技術的分析說明,充分驗證了兩點:第三方驗證服務平臺TSC并不專業,其服務過的大部分合約均存在合約源碼與Tron鏈上bytecode不一致的情況,證明TronBankPro項目方找TSC進行一致性校驗服務存在很大疏漏。第三方驗證服務平臺TSC很難避嫌,其早在TronBankPro項目上線前發現了合約漏洞,然而其并沒有督促項目方及時調整問題,而是反其道而行之實施了攻擊測試,而今項目合約遭到了攻擊,TSC又怎能置身事外呢?當然,即使PeckShield已經通過技術追蹤,將事情的來龍去脈還原至此,在區塊鏈的虛擬世界里,這場"狼人殺"大戲究竟誰是狼人,仍然難有定論。項目方在不對損害資金進行如數賠付之前,于情于理都難逃其責;第三方服務平臺TSC目前來看是最大的"鬼",但其和項目方的關系真說得清嗎?至于那個任性又有些小情緒的黑客wojak究竟是真有其人,還是只是漩渦中一方的小馬甲,誰能道得明,說得清?校驗得了的是代碼,猜不透的是人性!PeckShield是面向全球頂尖的區塊鏈數據與安全服務提供商。商業與媒體合作,請通過Telegram、Twitter或郵件與我們聯系。

Tags:QUOTSCTROtronQuotaBTSC幣TROLLER幣STRONG

Coinw
穩定幣磨刀霍霍向Tether_SDT

Odaily星球日報出品作者|秦曉峰編輯|盧曉明近期,穩定幣市場又起風云。穩定幣霸主Tether被曝挪用用戶資金,填補加密交易所Bitfinex的8.5億美元損失;Tether和Bitfinex.

1900/1/1 0:00:00
比特幣“新牛市”,李笑來回來了,場外機構也來了_BTC

編者按:本文來自31QU,作者中本愚,Odaily星球日報經授權轉載。 比特幣大漲讓人困惑 “比特幣上漲這幾天,公司里似乎都熱鬧了很多。”區塊鏈從業者說.

1900/1/1 0:00:00
大話Staking:哪款staking工具適合讓你躺著賺幣?_AKI

近期區塊鏈世界的高頻詞匯,無疑是POS與Staking。在POS的共識機制下,持幣人通過向主網質押代幣,以此獲得參與區塊生產的通脹獎勵.

1900/1/1 0:00:00
行情月報|市值與交易量均大幅拉升,但獲利者僅占三成_BTC

月報摘要“投資者調研”:超過60%的投資者在4月沒有獲利。超67%的投資者認為,5月數字資產整體市值僅會出現小范圍波動.

1900/1/1 0:00:00
DAO終極之問:去中心化組織歸誰所有?_MAN

編者按:本文來自碳鏈價值,作者:PhilippeHonigman,Tribute合伙人,編譯:王澤龍、Diana,星球日報經授權發布。社會層與自治層之間的共生關系是比特幣的核心所在.

1900/1/1 0:00:00
打破去中心化世界里的權利壟斷_中心化交易所

只要交易成本等于零,產權的初始配置不影響效率。——1991年諾貝爾經濟學獎經濟學家羅納德·科斯一、交易所的歷史人類商業的歷史就是一部交易的歷史.

1900/1/1 0:00:00
ads