波场DApp Tronwin存在溢出漏洞,被盗200万TRX

图片.png

微博网友称,有个波场的DAPP游戏被黑客攻击,盗了大概200万的TRX(约3.86万美元)。孙宇晨转发该微博并称:会组织波场开发者合约安全培训,减少被黑客攻击的可能性。

据BCSEC调查,本次被攻击的DApp为tronwin,官方称是受到了溢出攻击导致。

图片.png黑客钱包地址:

TW5puXLZW3LW7DUs5HrEE2tdtvaVezKmGq

受攻击的两笔交易详情:

https://tronscan.org/#/transaction/346ca48960e57a3c1058647ec59d483ae88ac4969f86d851948069ac1ee883cc

https://tronscan.org/#/transaction/d235eba2c68c675df59be65c17bf12198afa19dc99bbd6c7ec2979902c72ca9b

挑取其中一个看一下

图片.png

可以看到黑客下注了一笔超大的赌注,这应该就是引起溢出的原因,但是没有进行竞猜(choice里面是空的,没有压大小之类的),证明应该不是通过竞猜来完成获利的。

黑客在完成获利后便向TCvxTyPBK9B5VXWAioqqqJ3U61gBwNbng7转账了2058982个TRX,约200万。

图片.png

https://tronscan.org/#/transaction/2e8fdc135dbe0e548f0f34c3340f09728a6b4271427439c99de904812fbf51da

不过由于该合约不开源,到底是因为什么变量没进行溢出判断导致的目前还不得而知,而且经过调研,黑客账户此前也经常与其他的菠菜类DApp进行互动,不过都属于正常互动,该账户之前没有对该合约tronwin进行过黑盒测试,而是忽然有一天就对合约进行了攻击,在没有源码的情况下要完成这种操作是很难的,这里不排除监守自盗的可能性。

*文章为作者独立观点,不代表BSCEC立场

转载此文章须经作者同意,并请附上出处(未知网站)及本页链接。

白帽汇安全研究院原创2019-01-07 15:06:51 2009