O ataque do TronBank Dapp abre portas para vulnerabilidades do Tron Dapps?

Tron vem crescendo seu ecossistema Dapp em uma velocidade realmente grande e se gabando de sua agilidade, rede não congestionada e segurança. Mas esta declaração está lentamente desmoronando quando o Dapp TronBank de Tron recentemente foi alvo de moedas falsas. Agora, a questão está à frente, este ataque abre portas para vulnerabilidades no ecossistema dapp de Tron.

TRON DApps pode se tornar um novo alvo para hackers, acredita que a equipe de segurança da Beosin

Em 10 de abril de 2022, o TRON DApp TronBank foi alvo de moedas falsas e quase 170 milhões de tokens BTT foram roubados. O invasor criou moedas falsas chamadas BTTx para iniciar a função “Investir” no contrato, e o contrato não determinou se o ID do token do remetente era consistente com o ID real do BTT 1002000.

Embora o ataque tenha sido um choque para muitos, a empresa de segurança SlowMist divulgou um tweet explicando como as vulnerabilidades do padrão de token TRC 10 foram exploradas.

Slowmist concluiu que o contrato do TronBank não podia julgar msg.tokenid, que é o valor da tag na chamada da mensagem, na função invest permitindo que qualquer token (mesmo tokens falsos) seja transferido e o contrato o considere como BTT real. Com o BTT falso aceito, o atacante agora tem saldo e pode pedir saque extraindo assim o valor real do BTT do contrato.

Embora o SlowMist tenha demorado algum tempo para apresentar essa explicação, em 11 de abril, ao verificar outros códigos de código aberto no Github, a plataforma de controle de risco da empresa de segurança Beosin, Beosin-Eagle Eye, com sede na China, descobriu que existem outros projetos com esse problema de segurança. A seguir estão os endereços do contrato com esse tipo de problema de segurança:

TF3YXXXXXXXXXXXXXXXXXXXXXXXXXXXWt3hx;
TKHNXXXXXXXXXXXXXXXXXXXXXXXXXAEzx5;
TK8NXXXXXXXXXXXXXXXXXXXXXXXXZkQy;
TUvUXXXXXXXXXXXXXXXXXXXXXXXXLETV;
TG17XXXXXXXXXXXXXXXXXXXXXXXXXkQ9i.

De acordo com a análise da equipe de segurança da Beosin, existem duas razões para os problemas acima:

  1. A pesquisa do desenvolvedor sobre o mecanismo do token TRON é insuficiente, e o mecanismo do token pode aprender com o Ethereum;
  2. O invasor segue outros métodos de ataque existentes, como o método de EOS falso.

Como solução para isso, a equipe de segurança da Beosin sugeriu que as partes do projeto determinassem simultaneamente se “msg.valor do token” e “msg.tokenid” atende às expectativas ao receber as criptomoedas. A equipe de segurança da Beosin também fornece o método reparado dos códigos vulneráveis. As seguintes funções Invest aumentam o código: require (msg.tokenid == 1002000); requer (mensagem.valor do token >= mínimo); mínimo é o valor mínimo de investimento.

Embora não houvesse comunicação oficial direta sobre isso, Justin Sun tweetou sobre trabalhar em estreita colaboração com empresas de segurança

Justin sol
Fonte: Twitter

Embora uma declaração detalhada possa ser aguardada, Beosin apontou claramente como os Tron Dapps são vulneráveis ​​e podem ser explorados se não forem reparados em breve. Espero que essa vulnerabilidade não abra as comportas para o Tron e, em última análise, prejudique todo o ecossistema Dapp.

Será que a Tron vai se esforçar para salvar seu ecossistema Dapp com essas vulnerabilidades? Deixe-nos saber suas opiniões sobre o mesmo.

You May Also Like

About the Author: Medusa