Noticias Selección editores

¿Tiene TronBank Dapp Attack puertas abiertas a vulnerabilidades de Tron Dapps?

Tron ha estado creciendo su ecosistema Dapp a una velocidad realmente grande y se ha jactado de su agilidad, red sin congestión y seguridad. Pero esta afirmación se está desmoronando lentamente, ya que el Dapp TronBank de Tron recientemente fue atacado con monedas falsas. Ahora, la pregunta que queda por delante es que este ataque abre las puertas a las vulnerabilidades en el ecosistema dapp de Tron.

TRON DApps puede convertirse en un nuevo objetivo para los piratas informáticos: el equipo de seguridad de Beosin

El 10 de abril de 2019, TRON DApp TronBank fue atacado por monedas falsas y se robaron casi 170 millones de fichas BTT. El atacante creó monedas falsas llamadas BTTx para iniciar la función "Invertir" en el contrato, y el contrato no determinó si la identificación del token del remitente era consistente con la ID de BTT real 1002000.

Si bien el ataque fue un shock para muchos, la firma de seguridad SlowMist lanzó un tweet que explica cómo se explotaron las vulnerabilidades del estándar de token TRC 10.

Slowmist concluyó que el contrato de TronBank no podía juzgar msg.tokenid, que es el valor de etiqueta en la llamada de mensaje, en la función de inversión que permite transferir cualquier token (incluso tokens falsos) y el contrato lo consideró como BTT real. Con el BTT falso aceptado, el atacante ahora tiene saldo y puede solicitar el retiro, extrayendo así el valor real del BTT del contrato.

Mientras SlowMist se tomó un tiempo para dar esta explicación, el 11 de abril, cuando revisó otros códigos de código abierto en Github, la plataforma de control de riesgos Beosin, firma de seguridad con sede en China, Beosin-Eagle Eye, descubrió que existen otros proyectos con esto. problema de seguridad. Las siguientes son las direcciones de contrato con este tipo de problema de seguridad:

TF3YXXXXXXXXXXXXXXXXXXXXXXXWt3hx;
TKHNXXXXXXXXXXXXXXXXXXXXXXXAEzx5;
TK8NXXXXXXXXXXXXXXXXXXXXXXXZkQy;
TUvUXXXXXXXXXXXXXXXXXXXXXXXXXxLETV;
TG17XXXXXXXXXXXXXXXXXXXXXXXkQ9i.

Según el análisis del equipo de seguridad de Beosin, hay dos razones para los problemas anteriores:

  1. La investigación del desarrollador sobre el mecanismo de la ficha TRON es insuficiente, y el mecanismo de la ficha solo puede aprender de Ethereum;
  2. El atacante sigue otros métodos de ataque existentes, como el método de EOS falso.

Como solución a esto, el equipo de seguridad de Beosin sugirió que las partes del proyecto deberían determinar simultáneamente si "msg.tokenvalue" y "msg.tokenid" cumplen con las expectativas cuando reciben las criptomonedas. El equipo de seguridad de Beosin también proporciona el método reparado de los códigos vulnerables. Las siguientes funciones de Invest aumentan el código: require (msg.tokenid == 1002000); require (msg.tokenvalue> = mínimo); El mínimo es el monto mínimo de inversión.

Si bien no hubo una comunicación oficial directa sobre esto, Justin Sun hizo un tweet de trabajar estrechamente con las empresas de seguridad.

Sol de justin
Fuente: Twitter

Si bien se puede esperar una declaración detallada, Beosin ha señalado claramente cómo los Tron Dapp son vulnerables y podrían ser explotados si no se reparan pronto. Espero que esta vulnerabilidad no abra las compuertas para Tron y, en última instancia, obstaculice el ecosistema Dapp completo.

¿Tron tomará medidas para salvar su ecosistema Dapp con estas vulnerabilidades? Háganos saber sus puntos de vista sobre el mismo.

.

Related posts

Análisis de precios de Bitcoin [BTC]: atrapado en un rango ajustado mientras los Bulls continúan dispersándose

cryptocurrencypost

Los ciudadanos chinos pueden poseer Bitcoin legalmente: el comercio OTC también es legal

cryptocurrencypost

Revisión de Jwallet de Jibrel Network

cryptocurrencypost