4000万假币流入波场，BTT假币攻击事件细节披露

4月11日凌晨1点，TRON DApptronbank遭到假币攻击。

11日上午，Beosin Chengdu Chain Security技术团队初步分析判断，假币攻击的主要原因是合约没有严格验证代币的唯一标识token ID，误识别攻击者自己发行的毫无价值的令牌。 为价值85万元的BTT代币波场usdt下载，造成损失。

同时及时发出预警，预测黑客团队未来可能将攻击重心转向波场TRON。

接下来波场usdt下载，我们就来看看这起事件的起因吧。

首先我们来看一下BTT假币攻击中的漏洞源码，如下图所示：

经分析发现，假币漏洞是由于invest函数只判断msg.tokenvalue，而没有判断msg.tokenid是否为真实BTT代币ID：1002000所致。

TRC10标准是TRON自身支持的技术代币标准。 该标准规定了两个重要参数：msg.tokenvalue 和 msg.tokenid。 其中，msg.tokenvalue表示当前msg调用的token个数，msg.tokenid表示当前调用者使用的token类型的ID。 每个 TRC10 标准代币都有一个唯一的代币 ID 作为代币类型的证明。

BTTBank合约在收取代币时，不对收到的代币的tokenid做任何判断。 合约只判断msg发送的代币数量msg.tokenvalue。

当合约收到调用者发送的代币数量msg.tokenvalue时，合约误认为代币数量为BTT数量。 但实际上，调用者使用的是假币token，token编号为1002278。BTTBank将假币视为真币（真币的tokenid为10022000）记录在投资人账户中。

攻击者账户的TRC10代币中有BTT和BTTx两个代币，可以看到两个代币的ID区别，BTT代币ID：1002000，BTTx代币ID：1002278。

攻击者在4月11日凌晨制造并发行了990,000,000,000,000,000枚名为BTTx（代币ID：1002278）的假币

随后创建假币，攻击者将创建的4000万假币BTTx发送到四个攻击账户：

TB9jB76Bk4tk2VhzGAb6t1aCYgW7Z4iicY

TQM4uEWPQvVe2kGbWPZtVLMDFrTLERfmp4

TKp1stjapNqr4pkDQjU9GTitsYBUrKAGkh

TF2EWZJZSokGdtk4fj7PqCmuGpJasVXJ3K

在攻击者收到假币后，攻击者调用了 BTTBank 合约的有缺陷的投资功能。

接下来，BTTBank项目方在触发投资功能后，向预先设置的投资账户TPk、TT4、TGD转入大量BTT。 这笔资金实际上并没有被黑客拿到，而是项目方在没有收到BTT的情况下进行的。 真正的投资。

下图为源码中三个投资地址的具体设置代码：

BTTBank投资的三个投资账户均收到大量BTT代币，如下图所示。

帐户 1

帐户 2

帐户 3

触发invest函数后，黑客通过withdraw函数获取了BTTBank奖励池中真实的BTT代币，最后四号手将赃款转入黑客主账户：

TCX1Cay4T3eDC88LWL7vvvLBGvBcE7GAMW

攻击者账户中被盗的BTT币和攻击中使用的假币BTTx如下：

另外，在查看Github上其他项目方的开源代码后，发现还有其他项目方存在该安全问题：

涉案合约地址如下：

因此，我们呼吁广大项目方提高警惕和重视，检查自己的合约是否存在上述安全漏洞，并及时更新。

在这里，我们再次总结一下这次攻击发生的原因：

为修复该漏洞，项目方在收取代币时需同时进行判断

msg.tokenvalue

和

msg.tokenid 是否符合预期。

Invest函数可以参考以下方法添加代码：

黑客团队最近可能把重点放在了TRON上，可能是因为TRON公链的DApp市场高度繁荣，但从未遭受过EOS公链层面的高强度攻击。

目前，攻击者主要是将其他公链上成熟的攻击手段迁移到波场上，进行大规模的攻击测试，寻找安全防护较弱的合约。 在此阶段之后，攻击者可能会进一步挖掘波场自身可能被利用的机制，进行更密集、更具威胁性的攻击。

最后，再次提醒各大项目方加强合约的安全防护等级和安全运维强度，尽量防患于未然，避免造成不必要的损失。 如有需要，可以联系第三方专业审计团队进行完整的代码安全审计，再上链，共同维护公链安全生态。

喵喵进来充电！

Cosmos、Polkadot、跨链项目最近很火，但是你真的了解什么是跨链吗？ 跨链如何实现链与链之间的资产交换和转移？ 本期喵懂区块链链接上一期侧链协议，为你揭开跨链的秘密，完整视频戳：