TOKE:PeckShield 深入代码层面分析，黑客究竟如何盗走 1.7 亿 BTT？_KEN

作者：

时间：

04月11日凌晨00:17，PeckShield态势感知平台监测到TCX1Cay…开头的黑客，创建了名为BTTx,tokenid为1002278的TRC10token，并于凌晨00:25至01:00之间向多个地址转入4,000万个BTTx代币，这多个地址对TXHFhq…开头的BTTBank理财类合约实施攻击。

原文标题：《波场假币攻击全过程：BTTBank理财合约遭黑客假BTT攻击》

BTTBank项目介绍

BTTBank又名TronBankBTT,是属于TronBank旗下的一款专属于BitTorrent(BTT)-ThetokenthatwillenableblockchainmassadoptionBTTtoken的投资产品，根据官网TronBank介绍：

TronBankBTT的智能合约将为您产生每天3.6-6.6％的投资收益（取决于你购买的产品计划)，自动发放到你的收益余额中。举例，购买4.6%收益计划，21天你即可获得超过100%收益。收益每秒都会计算，你甚至每秒都可以提取收益或重新投资。当您重新投资收益时，投资金额会增加，可以更快的获得更多收益。

火星云矿商思林：矿机和电价已经降到历史低水平:2020年5月23日，由百团大战、节点咨询、金色财经主办，莱比特、算力360联合主办的百团大战矿业峰会·丰水期之战在成都开幕。

在会上，火星云矿总裁商思林表示，难度的下调是算力的下降，算力的下降直观原因是跟减半有关系，减半币的数据直接从每十分钟12.5个减少到6.25个，我们抛出312币价下跌的因素，减半的效应现在没有直接展示出来，现在是9000美金，其实在很多主流矿机挖矿的回本线以上其实并不高，差不多在8000美金左右。在这样的情况下首先是减半带来的S9上一代机王挖了4年，很多因为电价的原因要关掉，目前大家都盼着丰水期来再挖一些，两毛三左右S9可以挖，丰水期大规模到来之后会上涨。核心原因是新矿工的进入没有大家想得那么快。观望的情绪目前为止比较浓，减半后的市场情况大家有观望，影响矿工进入。现在进入成本非常低，大家知道挖矿是用进入成本锁定未来2-4年的挖矿周期每天获得比特币的成本，现在成本无论是矿机还是电力还有平台各方面的服务费用，其实都已经降到了历史上非常低的水平，现在是一个很好的一个进入时机了。随着大家对形势进一步的判断，仅仅是明确算力，我个人认为会保持快速增长，现在是比较短的情况。[2020/5/23]

其产品界面如下：

火星区块链成为获得新加坡金融管理局豁免权的区块链金融公司:近日，新加坡金融管理局（MAS）正式公布在新支付法案下获得支付服务豁免许可的企业名单，火星区块链海外分公司Wisdom International Capital Pte Ltd位于其列。除之前已经取得的跨境国际支付执照以外，火星区块链还取得了E-money电子货币发行许可、数字资产支付和交易许可，成为取得MAS监管当局多种牌照的区块链金融公司。

火星区块链集团致力于区块链技术研发、商业应用开发、数字资产管理、区块链媒体服务等。集团总部位于新加坡，目前运营产品包括星传媒、1SG稳定币、火星隐私公链、数字资产管理等。[2020/3/27]

其理财过程大致如下：

1、用户根据收益率和投资期限购买相应的理财产品；2、投资期限到期之后，用户提现理财产品到自己的钱包。

使用上，和当前的各类P2P理财产品类似，用户的使用门槛仅在于一个TRON钱包，但从产品收益率来看，这个资产回报率还是相当可观的。

菜鸟国际技术负责人唐韧：想要在区块链上产假造假跟登陆火星一样难:目前，天猫国际上包括诺优能、爱他美、惠氏、美素佳儿、美赞臣等26个知名品牌奶粉，正在逐步应用区块链溯源技术。这是中国首次将区块链技术应用在商品全球溯源，背后既有蚂蚁金服开放的技术，也有天猫国际、菜鸟网络、阿里健康的通力协作。天猫进出口事业部关务总监苗兰打了一个更通俗的比方——区块链技术就像一个无法撤回信息的群消息，认同同一个规则和责任的人才能成为群成员，进而相互之间传递信息，谁说了什么，都会在群里留下无法更改的痕迹。菜鸟国际技术负责人唐韧表示，“所以，想要在区块链上进行数据造假掺入假货，难度和登陆火星没什么区别。”[2018/3/4]

攻击回溯

攻击事件简述

去年年底，波场孙宇晨发起12号提议，即符合波场TRC10规范的Nativetoken的名字将不再唯一，涉及到TRC10token的转账等操作将使用ID来代替。这使得波场创建token的流程变得简单易上手，然而却带来一个潜在的威胁，一旦合约疏于检查tokenid的匹配性，就会存在假币攻击的可能。简而言之，本次BTTBank遭受攻击正是因为缺乏tokenid的一致性验证造成的。

可编程信用协议Spectral完成675万美元融资:金色财经报道，可编程信用协议Spectral宣布已完成由Polychain Capital牵头的675万美元融资。Galaxy Digital、Social Capital、ParaFi Capital、Edge&Node Ventures（The Graph）和Meta Purse Ventures也参与了本轮融资。据悉，Spectral开发了用于在Web3中评估信用风险的基础设施。Spectral的第一个产品是链上信用评分，为贷方提供了一种评估借款人风险的改进机制，并授予用户对其在区块链上的身份和假名的完全控制权。[2021/11/10 6:42:47]

背景知识

TRON中的token分为几种规范：

TRXTRC20TRC10其中，TRX为TRON的平台币，类似于Ethereum中的ETH。

而TRC20是与EthereumERC20兼容的token，实质是一种可编程的智能合约，由用户通过智能合约创建token之后，其token的转账、发送等操作均在智能合约内部完成，对于一般的小白用户来说，ERC20/TRC20使用过于复杂，不便于上手使用。

声音 | PeckShield：BSV节点处于不同的链和区块高度可能是软件版本不是最新:针对BSV网络出现了一个210 MB大小的区块，派盾PeckShield相关负责人表示，目前出现大区块应该都是测试，有人发的测试交易，BSV上真正的交易没那么多，交易量没有那么大，不会填满210M区块。正常情况下，每块最多几百个交易吧。对于BitMEX Research发推称，420个BSV节点目前处于不同的链和区块高度：17%卡在210MB的大数据块上；19％处在旧的预订的硬分叉链上。其表示，有些节点的软件没有升级，所以出现分叉的情况；17%卡在210MB的大数据块上可能也是这部分节点的软件版本不是最新。[2019/8/4]

故此，TRON中引入了TRC10token,这是一种可以由用户直接操控的token，每一个自然用户支付1024TRX便可创建一个TRC10token，同时一个用户只能创建一个TRC10token。每一个TRC10token在创建之后，由系统分配一个唯一ID，这是一个从1,000,001开始往后自增的整数，一个tokenId标识一个唯一的token，当前TRON平台上共有1850个TRC10。

为了提高TRC10的流动性和使用价值，TRON平台在Odyssey3.2版本之后，使能了在智能合约内部转账TRC10token的功能，参考TRC10TransferinSmartContracts,其示例代码如下所示：

上述代码简单解释如下：

1、transferTokenTest()接口内部用于转账TRC10token，接口调用方可以通过address.transferToken(uint256tokenValue,trcTokentokenId)往address转账数量为tokenValue的tokenid为tokenid的TRC10token；2、msgTokenValueAndTokenIdTest()接口表明，调用者可以直接在发送的message中加入tokenid和tokenvalue字段，这也说明了TRC10是TRON平台上的一等公民，属于内置类型，与TRC20通过函数参数的形式来表征token价值是完全不同的；3、getTokenBalanceTest()通过tokenid获取账号的余额。

由此可知，TRC10token可以在智能合约内部通过tokenid完成转账，TRC10token作为价值承载者，在智能合约内部即反映在tokenid的差异上。

因此，合约开发者在处理TRC10转账相关逻辑时，需要特别注意tokenId的有效性和真实性。

攻击事件

PeckShield安全人员在分析BTTBank合约时，发现其合约源码实现中存在致命漏洞，可导致项目方资金受损。

下图为黑客攻击的原过程：

1、黑客先行创建一个名为BTTx的TRC10token；2、黑客往一批自己控制的账号中转入4,000万个BTTxtoken；3、通过控制的账号往BTTBank合约发起数次攻击；4、最后顺序将BTT提取到控制的账号中。

下文从BTTBank投资及赎回的过程还原本次BTT假币攻击的全过程。

投资

投资的核心代码如下：

public接口的invest()提取msg.tokenvalue，并调用private的invest()函数完成投资的过程，invest()内部计算并保存用户这一次的投资数量、时间等信息到合约的内部资产账单上。值得注意的是，这里invest()只提取了msg.tokenvalue，这里并没有提取msg.tokenid，也没有验证msg.tokenid是否属于BTTToken的tokenid(为1002000)。

前面我们提到BTTBank是一款投资理财类DApp，用户存入BTTtoken，资产到期之后，再赎回投资的BTT和对应的利息，在这里并没有检查是否是真正的BTT，也就是不论你投资的阿猫阿狗币，都被认为是BTTtoken。

提现

提现的核心代码如下：

赎回的过程比较简单，先从合约的内部投资账单上计算用户已经到期的投资金额，并将这一部分投资金额转回给用户，注意：msg.sender.transferToken(withdrawalAmount,BTT_ID)中是固定的BTT_ID即1002000.

至此，用户投入BTT，收获BTT；而黑客投入BTTx,收获BTT，一个完美的『狸猫换太子』过程。

防御策略

PeckShield安全人员在此提醒广大开发者，虽然TRC10/TRC20都是token,但两者在TRON平台上有着本质的差异性，若要在智能合约内部转账TRC10，一定要检查所转移的TRC10对应的tokenid是否为预期值。针对上例，可将投资代码增强如下：

另外，PeckShield安全人员根据上述的代码样式分析TRON平台上其它类BTTBank合约时，也发现了相似的问题。在此，PeckShield安全人员提醒在进行智能合约开发的时候，虽然复用现有代码可能会带来开发功能上面的便利，但也须注意可能带来的安全风险。

来源链接：mp.weixin.qq.com

本文来源于非小号媒体平台：

PeckShield

现已在非小号资讯平台发布1篇作品，