今日凌晨0時左右,波場合約BTTBank遭“假幣攻擊”,損失約1.8億BTT。據PeckShield態勢感知平臺數據顯示,TCX1Cay開頭的黑客通過創建大量BTTX假幣的方式,向多個地址轉入共計4000萬個BTTX代幣,並把假的BTTX洗成真BTT進而對TXHFhq開頭的BTTBank遊戲合約實施了攻擊。
針對此事,北京鏈安安全專家hardman表示,本次發生的假幣漏洞不是個例,類似的事件已經在其它公鏈發生過多起,主要分為假充值漏洞和假幣漏洞。假充值漏洞如usdt、以太坊假充值漏洞,假幣漏洞如eos公鏈上的多個dapp曾經也發生過假幣漏洞。在這裡需要說明的是,目前所有的假幣漏洞或者假充值漏洞都是由於開發者代碼編寫不當導致的,公鏈和代幣本身並沒有漏洞。
無獨有偶!Beosin(成都鏈安)今日早間發佈預警稱,波場TronWoW遊戲今日凌晨3點左右被黑客攻擊,損失約2160000枚TRX。分析認為,黑客通過調用遊戲合約下注邏輯的方式進行遊戲,並一直獲勝“贏取”了TRX。黑客使用的攻擊手段為此前頻繁出現在EOS DApp中的“隨機數攻擊”。
間隔時間不長,波場生態內卻連續出現兩起“攻擊”事件,黑客為TRON公鏈安全敲響了警鐘。Beosin(成都鏈安)發佈預警表示,近期針對波場項目方的攻擊測試頻率開始上升並已造成實際損失,黑客團隊未來可能將攻擊重點轉向波場,波場公鏈的DApp市場高度繁榮但一直未曾遭到過EOS公鏈級別的高強度攻擊,攻擊者目前主要是將其他公鏈上已成熟的攻擊方式遷移到波場並進行大範圍攻擊測試,尋找安全防護較為薄弱的合約,此階段後,攻擊者可能更進一步深度挖掘波場本身可能被利用的機制,進行更高強度和威脅的攻擊。
而PeckShield安全人員也表示,隨機數攻擊的方式目前普遍存在於EOS DApp生態,目前來看此類攻擊有逐漸向TRON生態蔓延的趨勢。
通過黑客對波場的攻擊可以發現,在黑與反黑的反覆較量中,黑客除挖掘新的攻擊方式外,也開始將目光轉向相對活躍的公鏈,並照搬相對“成熟”的手段實施攻擊以獲取利益。此次在波場上使用的“假幣攻擊”和“隨機數攻擊”,都是區塊鏈行業中相對普遍的攻擊方式,且有案在先。因此,開發者應多關注已發生案例,並對照完善自身項目代碼的安全性,以避免造成不必要的損失。
直到今日下午16:30分左右,沉寂快一天的“營銷奇才”孫宇晨(波場TRON創始人)才發微博稱,“波場DAPP出現的合約安全問題與波場協議本身沒有任何關係,波場協議是完全安全可靠的,鏈上數字資產完全安全!未來我們也將聯合安全企業與合作伙伴對開發者進行一定程度的合約安全輔導,提升DAPP的安全性!”
波場生態連續遭受黑客“攻擊”,這算是行業中見怪不怪的事情。但是,由此卻牽出一起“撞衫”事件。
不知道有沒有細心的人發現,前述關於波場生態被盜的消息中,分別有“北京鏈安”和“Beosin(成都鏈安)”的消息源出現,若不仔細辨認,可能有人會誤認為是一家公司。
Beosin成都鏈安官網發佈的公告截圖
對此,今日下午,Beosin成都鏈安發佈“關於公司名稱混淆聲明”的公告稱,近日,有多個關心成都鏈安的媒體朋友及合作伙伴向我們反映,因北京鏈安有限公司名稱與我司相近而引起混淆,多次將“北京鏈安”誤認為“成都鏈安”。為避免公眾因此造成損失,切實保護廣大項目方及合作伙伴的利益,我司現作聲明如下:1、我司全稱“成都鏈安科技有限公司”,品牌名“Beosin成都鏈安”,公司位於四川省成都市,在其他地區均無分公司。公司成立日期為2018年3月29日,早於北京鏈安。2、我司專注於區塊鏈生態安全,其核心技術為形式化驗證,是全球最早一批將此技術應用到區塊鏈安全領域的公司,自主研發出首個同時支持多區塊鏈平臺的智能合約形式化驗證平臺VaaS。 已與Huobi、OKEx、ONT等超50家區塊鏈公司建立合作關係。3、我司官方網址為
https://www.lianantech.com,安全產品平臺https://www.beosin.com/#/,官方公眾號為“Beosin成都鏈安”。
知幣(ZHIBI.COM)通過國家企業信用信息公示系統查詢發現,涉及“北京鏈安”名稱的註冊公司共有兩家,分別為北京鏈安網絡科技有限公司和北京鏈安區塊鏈科技有限公司,分別登記在北京懷柔和北京石景山,成立時間分別是2018年5月和2018年7月。從相關的股東信息及投資母體來看,並不能看出兩家公司有實質性的關聯。
3家帶“鏈安”名稱的公司在國家企業信用信息公示系統的信息比對拼圖
而成都鏈安科技有限公司,註冊在成都成華,成立日期為2018年3月。雖然經營範圍與上述兩家帶“北京鏈安”名稱的公司有部分交叉,但從相關的股東信息及投資母體上,依然沒有相應的關聯性。
也就是說,3家公司(帶“北京鏈安”稱呼的兩家公司和成都鏈安科技有限公司)是互無關聯的企業。僅是均使用了“鏈安”字樣而已,在實際使用中容易引發混淆,需注意辨認。
“北京鏈安”官網“安全快訊”詳情標註有“原創”字樣
不過,知幣(ZHIBI.COM)通過北京鏈安網絡科技有限公司官網證實,針對波場合約BTTBank遭“假幣攻擊”事件發表看法的“北京鏈安”,即為北京鏈安網絡科技有限公司。其官網有醒目的“北京鏈安”字樣,資訊欄中有針對“波場DApp假幣攻擊並非個案”的“安全快訊”,詳細內容中有前述新聞來源所述的全部內容,且配有多家區塊鏈媒體的快訊截圖,以及“北京鏈安”的介紹,文末還標註了“原創:北京鏈安”字樣。
