随着新一天的调查,更多证据被各方挖掘出来,本次事件的真相正在逐渐浮出水面,戏剧化程度堪比一场年度大戏。文末还附上了wojak的财富密码。本文是TronBank被盗的续集,没有读过上一篇文章的读者,请先移步阅读《被盗1.7亿BTT今又被盗2600万TRX,TronBank在刻意埋藏后门?》
原文标题:《2600万TRX被盗背后的罗生门——第二集》
作者:DR小伙伴
注:以下调查的信息收集全部来自于Discord频道ScamWatch、Telegram群「TronBank抱团维权」,以及DappReview与关联人的聊天记录。
wojak反悔退款
自从5月3日晚上9点wojak出现并贴出一份退款对比名单之后,再次从Discord消失,在此期间很多人开始给wojak打上Scammer的标签,并认为「他不会退款,可能已经开上兰博基尼去度假了」,诸如此类言论不绝于耳。
5月5日中午12点
wojak再次现身,声称「我投入了8个小时写工具来给所有人退款,等我写完代码回来发现大家都在把我想象成是一个子,而没有意识到Tronbank才是放置后门坑了你们的人。你们原本会因此损失所有的投资。但在看到你们把我当成子而不是开发者后,我认为我没有任何理由把TRX退还给你们」。
此番言论遭到众人反驳,wojak坚持认为自己所做的事情并不违法,自己也不是小偷,只是发起了一笔交易调用了智能合约,并且遵守了智能合约的规则。此后,wojak再也没有表示过退款的可能性,而是让所有人去找Tronbank进行索赔。
声音 | Morgan Creek创始人:数字货币世界提供的金融服务远远超过传统金融系统:Morgan Creek创始人Anthony Pompliano发推称:“我们仍处于比特币和加密货币的采用阶段,默认用户体验非常糟糕。这会随着时间的推移而改变。但即使面临这些挑战,数字货币世界提供的金融服务仍远远超过传统金融系统提供的服务。”[2019/11/11]
证据开始指向TSC开发者Khanh
5月5日中午12点
在真相依旧处于众说纷纭的迷雾之中时,telegram中某开发者发现了一条关键证据,进而扭转了整个调查的方向,把更多的信息带出水面。
TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr该地址于4月28日部署了一个与事发TRXPro合约有同样后门的「测试合约」,并在4月30日对后门进行了测试。
如上图所示,TTX5N**该地址用同样的方式发送了0.011911TRX调用withdraw函数,触发后门,提走自己事先存入的约100TRX。
也就是说,在被盗时间约4天之前,竟然已经有人熟知此后门以及其调用方式。当我们去反编译该测试合约并与TRXPro被盗合约对比时,不难发现:
反编译工具:https://www.trustlook.com/products/smartcontractguardian
这两段代码的后门部分完全一致!
而且更为神奇的是,「测试合约」的部署时间比项目方部署的正式合约竟然早了5小时23分钟。
声音 | Interbank Card Center首席执行官: 未来我们有与加密货币世界非常兼容的结构:据CoinTelegraph报道,银行间信用卡中心(Interbank Card Center)首席执行官 Soner Canko在最近的播客中表示,金融世界最重要的问题是各方之间的信任,区块链技术可以消除这一问题,加密货币很受欢迎,因为它们为全球信任问题提供了解决方案。他称:“在设计未来时,我们考虑如何让生活更安全、更快、更简单。因此,我们有一个与加密货币世界非常兼容的结构。”[2019/11/3]
毫无疑问,TTX5N**地址与本次后门事件必定脱不了关系。
而该地址的所有者是谁呢?
打开TSC的网站https://tronsmartcontract.space,点击AboutUs
这正是TSC的开发者Khanh所拥有的地址
至此,Discord和tg群各路开发者开始梳理Khanh地址以及Tronbank开发者地址的合约部署、调用信息,梳理出以下时间线。
惊人的时间线
以上为Discord频道中梳理的时间线,下面我们按照北京时间进行更细节的梳理。
4/28/20194:07PM
TronBank开发者部署了TRXPro的测试合约,该合约中通过反编译并没有发现后门,合约地址为:
https://tronscan.org/#/contract/TAWLPqFn33U7iaAfP6cXRdJXcBUc1ewCRJ
币世界EOS分享会主讲人:EOS的节点也可能存在风险:今晚币世界北京线下分享会主讲EOS,主讲人在回答网友“EOS目前最大的缺陷是什么?”的问题时称,EOS目前还是“空气”,很难评价它的缺陷在哪里。目前来看,它的节点可能存在风险,同时,最终呈现的产品会不如白皮书所描述的内容。[2018/5/3]
4/28/20195:35PM
仅在一个半小时后,由TSC开发者Khanh所拥有的地址TTX5N部**署了上文提到的「测试合约」,该合约中存在后门代码,合约地址为:
https://tronscan.org/#/contract/TYZ4oPdPmwZS9xTUXhnFtQkPFFTi2iAydz
4/28/201910:48AM
Tronbank开发者了部署TRXPro的正式版合约,该合约即被盗合约,其中有后门代码,合约地址为:
https://tronscan.org/#/contract/TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ
4/28/201911:00PM
在12分钟之后,TSC开发者Khanh调用TRXPro的正式版合约,并发送0.011011来测试后门。该笔交易记录为:
https://tronscan.org/#/transaction/d6d89713ebdb98402ddfd1d454be394a5521c83b7d385ce2c394924a2b923c89
Distributed Finance完成250万美元种子轮融资,Borderless Capital领投:金色财经报道,Distributed Finance宣布获得250万美元的种子轮融资,并利用部分资金收购了Algorand NFT市场Rand Gallery。Borderless Capital领投本轮融资,Algorand基金会、Eterna Capital、Big Brain Holdings和Fun Fair Ventures参投。
据悉,Distributed Finance旨在促进Algorand生态系统中非同质化代币(NFT)和去中心化自治组织(DAO)的发展。(The Block)[2022/8/24 12:44:15]
4/30/201910:12AM
TSC开发者Khanh调用自己在4/28/20195:35PM部署的存在后门的「测试合约」,触发后门,并取走自己充进去的100TRX,该笔交易记录为:
https://tronscan.org/#/transaction/87bf173c126c4873ad333c02d4e352bacda9bfaae4d91d0bce156eb64bd5219f
5/3/20194:11AM
wojak调用TRXPro的正式版合约withdraw函数,第一笔转入了0.000123,并没有任何效果,交易记录为:
https://tronscan.org/#/transaction/aabfc7b6cedb2e8ce055c7fdc7a62df558213c63a33092293886b0e4b58277e5
MDIS将于今日12:00进行第四次矿池奖励调整:据官方消息,MDIS将于3月25号12:00进行第四次矿池奖励调整:新增HLTC-USDT,BAGS-HUSD,SNX-USDT矿池,SH-HUSD矿池。
此外,MDIS即将开启IMO。MDIS并开通了创新性的聚合交易子品牌MiaoO,目前该功能已上线测试,用户可以通过官网进入测试。[2021/3/25 19:16:18]
5/3/20194:12AM
1分钟后,wojak再次调用TRXPro的正式版合约withdraw函数,转入0.011911,成功触发后门,提走合约余额2673万TRX,交易记录为:
https://tronscan.org/#/transaction/e26666a806e24697fd049e60cf83cf412f58d85cdb0493c014cef0d29d8bdc2e
根据以上信息,可以归纳出两个事实:
1、Tronbank上线之前的测试版本合约,没有后门,但最终线上正式版存在后门;
2、TSC开发者Khanh在Tronbank测试版合约发布当天部署过一个有相同后门的合约,并且知道后门的调用方式,且在4月30日自己进行过测试。也就是说,该后门与TSC脱不了关系。
在与Tronbank团队的沟通中,开发者提到,他们是使用TSC进行编译的。
注:以下内容是基于现有事实依据的可能性探讨,不代表最终结论和真相,请再次传播时不要断章取义。
在第一篇文章《被盗1.7亿BTT今又被盗2600万TRX,TronBank在刻意埋藏后门?》中,我们曾提到过三种可能性:
可能性一:Tronbank开发者在实际部署的合约中夹杂私货放置了后门,并成功了TSC完成了另一份没有后门的代码验证;
可能性二:Tronbank团队和TSC团队合谋,部署了有后门的合约,同时TSC协助用另一个没有后门的合约完成验证;
可能性三:Tronbank团队没有在合约中放置后门,而是后门在合约部署过程中以某种方式产生。
根据以上掌握到的更新信息,第一种可能性被否决,因为整个事件中,TSC开发者是最早调用后门的人,并不存在不知情被的情况,而第三种可能性的概率极大地增加。TSC集合了编译、部署、验证的一条龙服务,从理论上来说,如果开发者使用TSC进行编译并部署,期间确实有可能增加后门代码。
在事发当天5月3日,Discord上询问为什么TRXPro的实际运行代码与验证代码不一致时,Khank的回应如下:
上午7点22分回应:我刚起床听到消息,让我来扫描一下所有
晚上9点18分回应:各位抱歉,我也不知道为什么他们通过了我的代码
而5月5日当Khank的地址部署过后门合约并且调用的证据出现后,在Discord网友的质疑下,Khanh的回应如下:
MrFahrenheit:你怎么解释你的地址对另一个合约调用过可以触发后门的交易?
Khanh:我的私钥泄露了,github的密码也泄露了
这个回应显然过于苍白,一方面人们质疑如果私钥泄露为什么官网还挂着这个地址,另一方面该地址中还有28,052TRX没有被转走。
此时此刻根据已有的信息进行客观的分析,存在的可能性依旧有以下几种:
可能性一:Tronbank团队和TSC团队合谋,部署了有后门的合约,同时TSC协助用另一个没有后门的合约完成验证。
可能性二:Tronbank团队没有在合约中放置后门,而是后门在合约部署过程中以某种方式产生。
以上的两种可能性中,目前的证据对于而言偏向于第二种可能性,Tronbank团队目前正在多次与Khanh沟通,并将部分对话截图贴出,Tronbank团队坚持没有放置任何的后门,而是指向TSC是真正放置后门的元凶。目前虽没有决定性的证据显示后门是由Khanh放置,但是TSC和Khanh自身与后门已经脱不了干系。
可能性三:Khanh的github账号被盗,地址私钥泄露,幕后黑手另有其人。
关于这一点依照现有的证据,可能性较低,Khanh的回应含糊其辞,也并没有提供账户被盗的证据
至此最终的谜题仍未解开,这一场年度大戏尚未落下帷幕,更多的证据仍待挖掘。
wojak的财富密码
整个事件中,wojak的那一笔神奇的交易依旧是关注本次事件的群众口中一直谈论的话题。究竟是什么样的奇技巧能让自动执行的代码找到后门,并且触发后门?
在DappReview与wojak的对话中,给出了答案:
wojak的灵感来自于2018年8月的一篇论文《TEETHER:GnawingatEthereumtoAutomaticallyExploitSmartContracts》
该论文主要讲了什么呢?
基于底层的EVM指令,提出了存在漏洞的智能合约的一种广义定义;
提出了TEETHER工具,该工具能够对于智能合约的字节码进行自动化的漏洞识别并生成相应的漏洞利用代码;
对于以太坊区块链中部署的38,757个智能合约进行了大规模的漏洞分析,其中TEETHER工具发现了815个合约中的漏洞,整个过程完全自动化。
用一个不恰当但是通俗的比喻来说:TEETHER工具就是一台能自动从智能合约找漏洞并且提款的ATM机。
wojak基于这篇文章做了什么事情?
1、把TEETHER工具针对波场虚拟机做了适配;
2、收集波场上所有智能合约;
3、对所有的合约执行TEETHER工具来分析;
4、找到可能的套利机会比如从合约A中以X的价格购买某Token,然后在合约B中以Y价格卖出,整个流程都是自动化执行而且合法;
5、工具会产生一系列可能产生收益的交易列表;
6、脚本自动执行并出发这些交易。
本质上,那一笔神奇的交易就是这样自动触发的,连他自己都不知道发生了什么。至于wojak本身的行为是否可以定义为「黑客」,或者「违法」,此处暂且不展开深究。
有兴趣研究这篇「财富密码」的请看:
https://publications.cispa.saarland/2612/1/main.pdf
截至发稿,Tronbank已经宣布完成了链上投资数据的收集,统计完成后将按照原计划发放赔付TRX。此外,TSC开发者Khanh已经关闭了个人Twitter和Facebook。
来源链接:mp.weixin.qq.com
BTC今日自凌晨起持续小幅上扬,自开盘5354.00美元小幅上升至凌晨1时左右高点5400美元,此后经历短时小幅回调,后持续不断攀升至晚间11时左右突破5500美元关口.
除了Cosmos外可挖的PoS公链有90多条,但其中很多公链的价值没有得到广泛共识。如果玩家为了40%的回报率投入资金去质押或者做节点商,一年下来币价跌了80%怎么办?得不偿失.
最近,一位加密评论员观察到,比特币全节点的数量竟然比瑞波的活跃地址还要多,足以突显比特币和XRP在去中心化方面的巨大差异.
加拿大和新加坡中央银行已经完成了使用区块链技术和中央银行数字货币进行跨境支付的试验。据coindesk.com报道,加拿大央行和新加坡金融管理局联合宣布了这一消息,其称两家中央银行之间的首次试验.
作者:AnaAlexandre翻译:Maya加拿大魁北克省能源监管机构Regiedel’energie发布加密货币挖矿新规。当地主要电力供应商魁北克水电公司于4月29日公布了这一新进展.
尽管Facebook的加密货币还未出生,但区块链和加密货币爱好者已经散发出深深的憎恨和愤怒。图片来源:pixabay非FacebookCoin粉丝杰克·约科姆-皮亚特(JakeYocom-Pia.