波場DApp遭黑客圍獵？1小時內1.7億枚BTT被卷跑_tron:鳳凰幣app

波場公鏈DApp市場高度繁榮的同時勢必會引來黑客垂涎，而目前波場還未曾遭到過像EOS那樣高強度的攻擊。

波場DApp也被黑客盯上了

據DappReview監測，今日凌晨1點，波場DAppTronBank遭到假幣攻擊，1小時內被盜走約1.7億枚BTT。

區塊鏈安全公司PeckShield數據顯示，今天凌晨00:17，TCX1Cay開頭的黑客創建了大量BTTX假幣，并于凌晨00:25至01:00之間向多個地址轉入共計4,000萬個BTTX代幣，并把假的BTTX洗成真的BTT代幣，進而對TXHFhq開頭的BTTBank游戲合約實施攻擊。

波場TRON賬戶總數突破8800萬:2022年4月21日，TRONSCAN最新數據顯示，波場TRON賬戶總數達到88,043,218，正式突破8800萬。波場TRON各項數據穩中前進，波場生態逐漸強大的同時，也將迎來更多交易量。[2022/4/21 14:38:36]

安全人員認為，黑客采用假幣攻擊方式，通過調用BTTBank智能合約的invest函數，之后調用多次withdraw函數取出BTT真幣。截止目前，BTTBank共計損失1.8億BTT。

初步分析認為，這是繼TransferMint漏洞之后，一種新型的具有廣泛性危害的漏洞，會威脅到多個類似DApp合約的安全。

波場TRON交易總數突破30億:2022年3月26日，TRONSCAN最新數據顯示，波場TRON交易總數達到3,000,123,392，正式突破30億。波場TRON各項數據一直穩中前進，波場生態逐漸強大的同時，也將迎來更多交易量。[2022/3/26 14:18:39]

TronBank的BTT投資產品于4月10日晚10點正式開放，僅三小時內總投資額超過2億枚BTT，此前該項目的TRX投資產品最高資金池余額超過2.6億枚TRX。

針對此事件，北京鏈安安全專家hardman表示，本次發生的假幣漏洞并非個例，類似的事件已經在其它公鏈發生過多起，主要分為假充值漏洞和假幣漏洞。

庫幣KuCoin已經支持基于波場鏈發行的ETH的充值:據最新消息，庫幣KuCoin已經支持基于波場鏈發行的ETH（TRC20-ETH)的充值，提現將后續開放。據悉，2020年11月22日，JUST團隊宣布發行基于波場TRC20協議開發的ETH（TRC20-ETH)，與ETH 1:1進行兌換，未來各大交易所將陸續支持，此前基于波場鏈發行的BTC已經被P網Poloniex、庫幣KuCoin、MXC抹茶等20多家交易所、錢包支持，波場具有轉賬速度快、低手續費、高吞吐量等特點，可增強以太坊、比特幣的用戶體驗。[2021/1/22 16:47:47]

此前USDT和以太坊都發生過假充值漏洞，而EOS公鏈上的多個DApp曾發生過假幣漏洞。目前所有的假幣漏洞或者假充值漏洞都是由于開發者代碼編寫不當導致的，公鏈和代幣本身并沒有漏洞。

數據：昨日波場TRON DApp活躍用戶數為93983:據DappReview網站10月13日數據顯示，上周波場TRON DApp活躍用戶數遙遙領先。其中，昨日波場TRON DApp活躍用戶數為93983，以太坊DApp活躍用戶數為42087，EOS DApp活躍用戶數為28886，波場TRON DApp活躍用戶數分別是以太坊的2.2倍，EOS的3.3倍。此外，上周波場TRON活躍DApp數也位于眾公鏈之首，達到292個。

據悉，波場 TRON 以推動互聯網去中心化為己任，致力于為去中心化互聯網搭建基礎設施。旗下的 TRON 協議是全球最大的基于區塊鏈的去中心化應用操作系統協議之一，為協議上的去中心化應用運行提供高吞吐，高擴展，高可靠性的底層公鏈支持。波場 TRON 還通過創新的可插拔智能合約平臺為以太坊智能合約提供更好的兼容性。[2020/10/13]

小蔥注：假充值漏洞是由于平臺交易所或者DApp項目方在充值邏輯沒有對函數的返回結構中特定參數做解析校驗，并且沒有做賬戶余額是否正確增加的二次判斷；假幣漏洞是由于平臺交易所或者DApp項目方充值邏輯沒有對充值代幣的關聯信息做詳細校驗；攻擊者通過發行同樣代幣名稱的代幣便可以實現假幣充值。

小蔥查詢發現，目前TronBank開發者尚未對此事做出回應，網站也沒有及時關閉，仍有不明真相的群眾進入投資，但他們投入的BTT會被黑客提走。

一波未平一波又起：“隨機數”攻擊或向波場DApp蔓延

4月10日23點02分，PeckShield監控顯示，黑客向波場競猜類游戲TronWow發起1203次攻擊，共計獲利2167377個TRX。

安全人員初步分析認為，黑客每次投注20TRX，回報1940個TRX，共計投注23004個TRX，回報超94倍。隨機數攻擊的方式目前普遍存在于EOSDApp生態，目前來看此類攻擊有逐漸向TRON生態蔓延的趨勢。

此前多個EOS競猜游戲遭遇“隨機數”攻擊，OnePlay、EOSLuck、EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACKDICE、ggeos等知名EOSDApp陸續被攻破。

針對來者不善的隨機數攻擊，慢霧安全團隊給出安全防御建議，DApp項目方在對新區塊鏈場景機制不太有把握的情況下，隨機數的實現建議采用鏈下結合方式，并在合約入口判斷來源是否是合約賬號，如無必要，可以禁止采用合約賬號的玩家。

波場DApp發展迅猛，或被更多黑客圍獵

數據分析網站DApp.com本周二發布報告稱，波場DApp用戶群增長最快，以太坊DApp用戶群則正在萎縮，但以太坊仍然是開發者的首選。

小蔥此前文章也提及，去年DApp用戶還百分百青睞以太坊，而今年1月，僅有28%的用戶繼續留守以太坊平臺，其余市場份額皆被EOS和波場瓜分。研究數據顯示，波場DApp今年第一季度促成了16億美元的交易活動，活躍用戶超過30萬，而EOS約為26萬。

據悉，截至第一季度末，波場錢包數量超過230萬，其中約15.46％與DApp互動頻繁。類應用程序被認為是波場DApp用戶數量增長的主要驅動力。

在2019年第一季度，約有85％的波場DApp用戶玩過此類應用，活躍度居DApp四大公鏈之首。

波場公鏈DApp市場高度繁榮的同時勢必會引來黑客垂涎，而目前波場還未曾遭到過像EOS那樣高強度的攻擊。

成都鏈安此前發布安全預警，稱近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失，黑客團隊未來可能將攻擊重點轉向波場。

Tags：DAPPAPPDAPtronblockchainresearchandapplication鳳凰幣appDAPCtronlink的官方網站地址

DAI