据 DappReview 监测，波场 DApp TronBank 于 4 月 11 日凌晨 1 点遭到假币攻击，1 小时内被盗走约 1.7 亿枚 BTT （价值约 85 万元人民币）。针对此次攻击事件，成都链安发布安全预警：近期针对波场项目方的攻击测试频率开始上升并已造成实际损失，黑客团队未来可能将攻击重点转向波场。

原文标题：《波场 DApp 超 1.7 亿 BTT 被盗，官方回应：与协议本身没任何关系》
作者：文学、孙曜

监测显示，黑客创建了名为 BTTx 的假币向合约发起「invest」函数，而合约并没有判定发送者的代币 id 是否与 BTT 真币的 id1002000 一致。因此黑客拿到真币 BTT 的投资回报和推荐奖励，以此方式迅速掏空资金池。

事件发生后，TronBank 项目方于 4 月 11 日上午 10:15 关闭了 BTT 服务页面，并表示会对损失的 BTT 部分全额进行赔付。

受此次攻击事件影响，TRX 和 BTT 双双下跌，截止发稿时，TRX 火币报价 0.027025 美元，24 小时跌 10.64%，BTT 火币报价 0.000715 美元，24 小时跌 6.04%。

针对 DApp TronBank 因「假币攻击」而损失 1.7 亿 BTT 的事件，波场回应称，该合约安全问题出现在波场 DApp 上，与协议本身没有任何关系，波场协议完全安全可靠。

波场创始人孙宇晨在社交媒体中也表达了类似观点，表示未来波场会联合安全企业与合作伙伴对开发者进行合约安全辅导，提升 DApp 的安全性。

针对此次假币攻击事件，我们采访了 DappReview 创始人牛凤轩、PeckShield 创始人蒋旭宪和成都链安创始人杨霞。

牛凤轩提到，攻击事件产生的根本原因是合约代码问题：TronBank 的 BTT 投资产品高度复制了 TRX 投资产品的代码，但无法判断用户投资的代币是真 BTT，还是假 BTT。

蒋旭宪和杨霞同样认为项目方的疏忽给黑客以可乘之机，提醒 TRON 合约开发者警惕假币攻击安全风险。

一、DApp 专家：实际被盗数量大于 1.7 亿枚

据 Dappreview 创始人牛凤轩透露，TronBank 的 BTT 投资产品于 4 月 10 日晚 10 点正式开放，仅三小时内总投资额超过 2 亿枚 BTT，此前该项目的 TRX 投资产品最高资金池余额超过 2.6 亿枚 TRX。

至于为何 1.7 亿枚 BTT 被盗，他将根本原因归结为合约代码问题：BTT 投资产品高度复制了 TRX 投资产品的代码，却没有判断发送者的代币 id 是否与 BTT 真币的 id1002000 一致。

牛凤轩提供了两个投资产品的代码对比图，图左为 BTT 投资产品代码。通过对比，可见除第 26 行之后的代码存在差异外，其余代码几乎一样。

但最致命的是 BTT 投资产品代码没有增加额外的判断函数，无法判断用户投资的代币是真 BTT，还是假 BTT。黑客显然已经意识到了这个漏洞。

据牛凤轩介绍，用户在 TronBank 的收益主要有两个来源，一是投资收益，随时可以提取，二是用户推荐返利，返利金额为投资数额的 5%。这两个收益来源，正是黑客盗走 BTT 的通道。

他同时提到，在发现该攻击后，Dappreview 团队第一时间进行了分析，发现黑客是同时用 4 个小号进行假币攻击。针对这一情况，他们随即反馈给项目方，后者虽在社群中提醒用户不要再继续投资，但并没有及时关闭页面，仍有不明真相的群众进入投资，而他们投入的 BTT 同样会被黑客提走。因此，牛凤轩判断，实际被盗的 BTT 数量大于 1.7 亿枚。

令牛凤轩感到遗憾的是，项目方直到 4 月 11 日上午 10:15 才关闭网站页面，并表示将对损失的 BTT 部分全额进行赔付。

谈及该解决方案，牛凤轩补充了一个信息：TronBank 项目的 TRX 投资产品上线运行近一个月，总计用户投资金额约 4.4 亿 TRX，其中项目方抽成总计 6%，共 2640 万 TRX，约 500 万人民币。

由此可以推断，项目方此前的营收完全可以承担此次 BTT 赔付。

二、区块链安全专家：主要过失在于项目方

针对此次攻击事件，我们联系了 PeckShield 创始人蒋旭宪和成都链安创始人杨霞。

蒋旭宪表示，黑客采用的是假币攻击方式，通过调用 BTTBank 智能合约的 invest 函数，之后调用多次 withdraw 函数取出 BTT 真币。

PeckShield 认为，这是继 TransferMint 漏洞之后，一种新型的具有广泛性危害的漏洞，会威胁到多个类似 DApp 合约的安全，这主要跟开发者有关，因此提醒 TRON 合约开发者警惕此类安全风险。

TronBank 官网截图

杨霞进一步补充道，假币攻击指的是攻击者通过发行与被攻击代币同名代币等方式欺骗项目方或用户，造成的危害主要是攻击者在没有付出任何代价的前提下执行了业务逻辑，扰乱了正常交易秩序。

在她看来，假币攻击的产生因素主要是项目方没有做完整的代币信息校验，错误地将攻击者的无价值假币识别为真实的有价代币。

至于该如何应对假币攻击事件，杨霞提到了 2 点：

1、项目方应事先进行安全审计，提前做好预防措施，即在合约中对交易的代币信息做完整的校验而不是单纯通过名称等不可靠信息判断。
2、假币攻击事件发生之后，项目方应立刻响应，暂时停止业务，排查问题并修复，之后追查损失资金流向，尽量追回损失。

与此同时，成都链安发布了安全预警：近期针对波场项目方的攻击测试频率开始上升并已造成实际损失，黑客团队未来可能将攻击重点转向波场，波场公链的 DApp 市场高度繁荣但一直未曾遭到过 EOS 公链级别的高强度攻击，攻击者目前主要是将其他公链上已成熟的攻击方式迁移到波场并进行大范围攻击测试，寻找安全防护较为薄弱的合约，此阶段后，攻击者可能更进一步深度挖掘波场本身可能被利用的机制，进行更高强度和威胁的攻击。

三、假币攻击事件盘点

事实上，假币攻击事件在区块链世界并不少见。

PeckShield 创始人蒋旭宪指出，假币攻击手法在 EOS 中已经出现，比如 2018 年 9 月 14 日发生在 Newdex 的假 EOS 刷币事件。攻击者预先在 EOS 账户中发行假 EOS，并由实施攻击的账户使用假 EOS 挂单委托买入 IPOS 和 ADD，最终分多笔共 11800 假 EOS 挂市价单购买 BLACK、IQ、ADD，且全部成交。最后由其他账户卖出以上代币，获得 4028 个真实 EOS。

PeckShield 对假 EOS 攻击原理的解释是，黑客创建了一种基于 EOS 的代币，并将其命名为「EOS」，并向被攻击合约账号大量转账假 EOS 代币，没有检测 EOS 的发行方的合约会将假 EOS 转账视为真的，进而调用了合约中的 transfer 函数，按照开奖流程分配奖金。

这种「假 EOS」攻击方式的关键是合约函数中没有检测发行代币的合约名。PeckShield 表示「假 EOS」漏洞在 10 月份较为普遍，不过随着多数开发者合约开发趋于规范，类似攻击事件已经很少，并提供了自去年至今相关案例统计。

我们梳理了 EOS 合约上发生的假币攻击事件

1、比特派 EETH 遭受「假币攻击」，暴跌 99％

据 IMEOS 消息，2018 年 12 月 12 日下午 4 点在去中心化交易所 NEWDEX 上线的比特派 EETH 遭遇假币攻击，并且遇到大量砸盘。

EETH 12 日 16 时上线后，在 17 时遭到假币攻击。受此影响，EETH 短时间暴跌 99%。

2、NEWDEX 两度被黑，损失 5.9 万美元

2018 年 9 月 19 日，据 thenextweb 消息，「假币攻击」发起者创造了一种全新的 EOS 代币，并将该假币名为「EOS」，发起攻击者的 EOS 账户 oo1122334455 总共发行了 10 亿个 EOS 假币。

经测试发现攻击可行之后，攻击者将假币冲进 NEWDEX 交易所，并挂出大额买单，用 11800 个 EOS 假币购买 BLACK、IQ 和 ADD 三种代币。

据交易所 Newdex 透露，攻击者拿到了 4028 个 EOS （价值 2 万美元）。9 月 14 日，Newdex 再次遭到黑客攻击，黑客依然利用假币攻击在交易所换取真币，共计获利 11803 个 EOS，价值 5.9 万美金。

3.EOSBet 一个月内被攻击 3 次

2018 年 9 月 10 日，EOSBet 也遭到了类似的黑客攻击，共计损失 4000 个 EOS。而该博彩游戏在 9 月共遭到了三次黑客攻击。

第二次发生在 9 月 12 日，EOSBet 遭受黑客利用假币套用真币，未投注就获得 42000 个 EOS 大奖。第三次发生在 9 月 14 日，EOSBet 遭黑客「假通知」攻击，损失 145321 个 EOS，目前损失已被追回。

9 月 15 日，EOS 博彩游戏 EOS.Win 也遭受了黑客假币攻击，共计损失超过 4000 个 EOS。

当然，这仅仅是假币攻击事件的一部分，黑客早已将假币攻击当做敛财工具，这无疑对广大开发者提出了更高的安全要求。