http://www.www.tnmanning.com

BTTBank理财合约遭黑客假BTT进攻


由此可知,TRC10 token 可以在智能合约内部通过 token id 完成转账,TRC10 token 作为代价承载者,在智能合约内部即反应在 token id 的差别上。

个中,TRX 为 TRON 的平台币,雷同于 Ethereum 中的 ETH。

TRON 中的 token 分为几种类型:

BTTBank理财合约遭黑客假BTT打击

2. 投资期限到期之后,用户提现理工业品到本身的钱包

其产物界面如下(由于当前 BTTBank 在维护中,主站无法打开,援引 TronBank 明星产物 TRX 的投资图片,详见 TronBank):

· TRX

2. msgTokenValueAndTokenIdTest() 接口表白,挪用者可以直接在发送的 message 中插手 token id 和 tokenvalue 字段,这也说明白 TRC10 是 TRON 平台上的一等国民,属于内置范例,与 TRC20 通过函数参数的形式来表征 token 代价是完全差异的;

BTTBank 项目先容

为了提高 TRC10 的活动性和利用代价,TRON 平台在 Odyssey 3.2 版本之后,使能了在智能合约内部转账 TRC10 token 的成果,参考 TRC10 Transfer in Smart Contracts, 其示例代码如下所示:

上述代码简朴表明如下:
· TRC10


进攻回溯

1. 用户按照收益率和投资期限购置相应的理工业品;

其理财进程大抵如下:

TronBank BTT 的智能合约将为您发生天天 3.6 - 6.6%的投资收益(取决于你购置的产物打算),自动发放到你的收益余额中。举例,购置 4.6% 收益打算,21 天你即可得到高出 100% 收益。收益每秒城市计较,你甚至每秒都可以提取收益或从头投资。当您从头投资收益时,投资金额会增加,可以更快的得到更多收益。

BTTBank理财合约遭黑客假BTT打击


BTTBank理财合约遭黑客假BTT打击

要害词:一分PK10新闻 币牛牛


利用上,和当前的种种 P2P 理工业品雷同,用户的利用门槛仅在于一个 TRON 钱包,但从产物收益率来看,这个资产回报率照旧相当可观的。

BTTBank 又名 TronBank BTT, 是属于 TronBank 旗下的一款专属于 BitTorrent (BTT) - The token that will enable blockchain mass adoption BTT token 的投资产物,按照官网 TronBank 先容:

04月11日破晓00:17,PeckShield态势感知平台监测到TCX1Cay… 开头的黑客,建设了名为 BTTx, token id 为 1002278 的 TRC10 token,并于破晓 00:25 至 01:00 之间向多个地点转入 4,000 万个 BTTx 代币,这多个地点对 TXHFhq… 开头的 BTTBank 理财类合约实施进攻。

去年年底,波场孙老板提倡 12 号提议,即切合波场 TRC10 类型的 Native token 的名字将不再独一,涉及到 TRC10 token 的转账等操纵将利用 ID 来取代。这使得波场建设 token 的流程变得简朴易上手,然而却带来一个潜在的威胁,一旦合约疏于查抄 token id 的匹配性,就会存在假币进攻的大概。简而言之,本次 BTTBank 蒙受进攻正是因为缺乏 token id 的一致性验证造成的。
而 TRC20 是与 Ethereum ERC20 兼容的 token,实质是一种可编程的智能合约,由用户通过智能合约建设 token 之后,其 token 的转账、发送等操纵均在智能合约内部完成,对付一般的小白用户来说,ERC20/TRC20 利用过于巨大,未便于上手利用。




3. getTokenBalanceTest() 通过 token id 获取账号的余额。
进攻事件

进攻事件简述
配景常识


下图为黑客进攻的原进程:

因此,合约开拓者在处理惩罚 TRC10 转账相关逻辑时,需要出格留意 token Id 的有效性和真实性。

1. transferTokenTest() 接口内部用于转账 TRC10 token,接口挪用方可以通过 address.transferToken(uint256 tokenValue, trcToken tokenId) 往 address 转账数量为 tokenValue 的 token id 为 token id 的 TRC10 token;

· TRC20



PeckShield 安详人员在阐明 BTTBank 合约时,发明其合约源码实现中存在致命裂痕,可导致项目方资金受损。

故此,TRON 中引入了 TRC10 token, 这是一种可以由用户直接操控的 token,每一个自然用户付出 1024 TRX 便可建设一个 TRC10 token,同时一个用户只能建设一个 TRC10 token。每一个 TRC10 token 在建设之后,由系统分派一个独一 ID(即 token id),这是一个从 1,000,001 开始往后自增的整数,一个 tokenId 标识一个独一的 token,当前 TRON 平台上共有 1850+(2019-04-12)个 TRC10。






郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。