宏远振动设备有限公司 版权所有,是国内最具有亲和力的网站之一 [ 给我写信 ] [ 百度空间 ] [ 腾讯微博 ] [ 新浪微博 ]

当前位置   主页 > 娱乐 >

Discord 深度挖掘还原,wojak 究竟如何转走 2600 万 TRX 的?

发表于:2019-05-12 12:48 作者:新闻小编 来源:新闻小编

随着新一天的调查,更多证据被各方挖掘出来,本次事件的真相正在逐渐浮出水面,戏剧化程度堪比一场年度大戏。文末还附上了 wojak 的财富密码。本文是 TronBank 被盗的续集,没有读过上一篇文章的读者,请先移步阅读《被盗 1.7 亿 BTT 今又被盗 2600 万 TRX,TronBank 在刻意埋藏后门?》

原文标题:《2600 万 TRX 被盗背后的罗生门 —— 第二集》

注:以下调查的信息收集全部来自于 Discord 频道 Scam Watch、Telegram 群「TronBank 抱团维权」,以及 DappReview 与关联人的聊天记录。

wojak 反悔退款

自从 5 月 3 日晚上 9 点 wojak 出现并贴出一份退款对比名单之后,再次从 Discord 消失,在此期间很多人开始给 wojak 打上 Scammer (骗子)的

如上图所示,TTX5N**该地址用同样的方式发送了 0.011911 TRX 调用 withdraw 函数,触发后门,提走自己事先存入的约 100 TRX。

也就是说,在被盗时间(5 月 3 日凌晨 4 点)约 4 天之前,竟然已经有人熟知此后门以及其调用方式。当我们去反编译该测试合约并与 TRX Pro 被盗合约对比时,不难发现:

Discord 深度挖掘还原,wojak 究竟如何转走 2600 万 TRX 的?

反编译工具:https://www.trustlook.com/products/smartcontractguardian

这两段代码的后门部分完全一致!

而且更为神奇的是,「测试合约」的部署时间比项目方部署的正式合约 竟然早了 5 小时 23 分钟。

毫无疑问,TTX5N** 地址与本次后门事件必定脱不了关系。

而该地址的所有者是谁呢?

打开 TSC 的网站 https://tronsmartcontract.space,点击 About Us

Discord 深度挖掘还原,wojak 究竟如何转走 2600 万 TRX 的?

这正是 TSC 的开发者 Khanh 所拥有的地址

至此,Discord 和 tg 群各路开发者开始梳理 Khanh 地址以及 Tronbank 开发者地址的合约部署、调用信息,梳理出以下时间线。

惊人的时间线

Discord 深度挖掘还原,wojak 究竟如何转走 2600 万 TRX 的?

以上为 Discord 频道中梳理的时间线(均为 UTC 时间),下面我们按照北京时间进行更细节的梳理。

4/28/2019 4:07 PM

TronBank 开发者部署了 TRX Pro 的测试合约,该合约中通过反编译 并没有发现后门,合约地址为:

https://tronscan.org/#/contract/TAWLPqFn33U7iaAfP6cXRdJXcBUc1ewCRJ

4/28/2019 5:35 PM

仅在一个半小时后, 由 TSC 开发者 Khanh 所拥有的地址 TTX5N部** 署了上文提到的「测试合约」,该合约中存在后门代码,合约地址为:

https://tronscan.org/#/contract/TYZ4oPdPmwZS9xTUXhnFtQkPFFTi2iAydz

4/28/2019 10:48 AM

Tronbank 开发者了部署 TRX Pro 的正式版合约, 该合约即被盗合约,其中有后门代码,合约地址为:

https://tronscan.org/#/contract/TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ

4/28/2019 11:00 PM

在 12 分钟之后,TSC 开发者 Khanh 调用 TRX Pro 的正式版合约,并发送 0.011011 来测试后门。该笔交易记录为:

https://tronscan.org/#/transaction/d6d89713ebdb98402ddfd1d454be394a5521c83b7d385ce2c394924a2b923c89

4/30/2019 10:12 AM

TSC 开发者 Khanh 调用自己在 4/28/2019 5:35 PM 部署的存在后门的「测试合约」,触发后门,并取走自己充进去的 100 TRX,该笔交易记录为:

https://tronscan.org/#/transaction/87bf173c126c4873ad333c02d4e352bacda9bfaae4d91d0bce156eb64bd5219f

5/3/2019 4:11 AM

wojak 调用 TRX Pro 的正式版合约 withdraw 函数,第一笔转入了 0.000123,并没有任何效果,交易记录为:

https://tronscan.org/#/transaction/aabfc7b6cedb2e8ce055c7fdc7a62df558213c63a33092293886b0e4b58277e5

5/3/2019 4:12 AM

1 分钟后,wojak 再次调用 TRX Pro 的正式版合约 withdraw 函数,转入 0.011911, 成功触发后门,提走合约余额 2673 万 TRX,交易记录为:

https://tronscan.org/#/transaction/e26666a806e24697fd049e60cf83cf412f58d85cdb0493c014cef0d29d8bdc2e

根据以上信息,可以归纳出两个事实:

1、Tronbank 上线之前的测试版本合约,没有后门,但最终线上正式版存在后门;

2、TSC 开发者 Khanh 在 Tronbank 测试版合约发布当天部署过一个有相同后门的合约,并且知道后门的调用方式,且在 4 月 30 日自己进行过测试。也就是说,该后门与 TSC 脱不了关系。

在与 Tronbank 团队的沟通中,开发者提到,他们是使用 TSC 进行编译的。(针对该言论的真实性,DappReview 无法做出验证)

Discord 深度挖掘还原,wojak 究竟如何转走 2600 万 TRX 的?

注:以下内容是基于现有事实依据的可能性探讨,不代表最终结论和真相,请再次传播时不要断章取义。

在第一篇文章《被盗 1.7 亿 BTT 今又被盗 2600 万 TRX,TronBank 在刻意埋藏后门?》中,我们曾提到过三种可能性:

可能性一:Tronbank 开发者在实际部署的合约中夹杂私货放置了后门,并成功欺骗了 TSC 完成了另一份没有后门的代码验证;

可能性二:Tronbank 团队和 TSC 团队合谋,部署了有后门的合约,同时 TSC 协助用另一个没有后门的合约完成验证;

可能性三:Tronbank 团队没有在合约中放置后门,而是后门在合约部署过程中以某种方式产生。

根据以上掌握到的更新信息,第一种可能性被否决,因为整个事件中,TSC 开发者是最早调用后门的人,并不存在不知情被欺骗的情况,而第三种可能性的概率极大地增加。TSC 集合了编译、部署、验证的一条龙服务,从理论上来说,如果开发者使用 TSC 进行编译并部署,期间确实有可能增加后门代码。

在事发当天 5 月 3 日,Discord 上询问为什么 TRX Pro 的实际运行代码与验证代码不一致时,Khank 的回应如下:

Discord 深度挖掘还原,wojak 究竟如何转走 2600 万 TRX 的?

Discord 深度挖掘还原,wojak 究竟如何转走 2600 万 TRX 的?

上午 7 点 22 分回应:我刚起床听到消息,让我来扫描一下所有(代码)

晚上 9 点 18 分回应:各位抱歉,我也不知道为什么他们通过了我的代码(验证)

而 5 月 5 日当 Khank 的地址部署过后门合约并且调用的证据出现后,在 Discord 网友的质疑下,Khanh 的回应如下:

Discord 深度挖掘还原,wojak 究竟如何转走 2600 万 TRX 的?

Mr Fahrenheit:你怎么解释你的地址对另一个合约调用过可以触发后门的交易?

Khanh:我的私钥泄露了,github 的密码也泄露了

这个回应显然过于苍白,一方面人们质疑如果私钥泄露为什么官网还挂着这个地址,另一方面该地址中还有 28,052 TRX (价值约 4400RMB)没有被转走。

Discord 深度挖掘还原,wojak 究竟如何转走 2600 万 TRX 的?

此时此刻根据已有的信息进行客观的分析,存在的可能性(注意,此处仅讨论可能性,即便该可能性极低,真相目前没有任何实锤证据)依旧有以下几种:

可能性一:Tronbank 团队和 TSC 团队合谋,部署了有后门的合约,同时 TSC 协助用另一个没有后门的合约完成验证。

可能性二:Tronbank 团队没有在合约中放置后门,而是后门在合约部署过程中以某种方式产生。

以上的两种可能性中,目前的证据对于而言偏向于第二种可能性,Tronbank 团队目前正在多次与 Khanh 沟通,并将部分对话截图贴出,Tronbank 团队坚持没有放置任何的后门,而是指向 TSC 是真正放置后门的元凶。目前虽没有决定性的证据显示后门是由 Khanh 放置,但是 TSC 和 Khanh 自身与后门已经脱不了干系。

可能性三:Khanh 的 github 账号被盗,地址私钥泄露,幕后黑手另有其人。

关于这一点依照现有的证据,可能性较低,Khanh 的回应含糊其辞,也并没有提供账户被盗的证据(比如 github 关联邮箱提示不安全登录、密码被修改等辅助信息)

至此 最终的谜题仍未解开,这一场年度大戏尚未落下帷幕,更多的证据仍待挖掘。

wojak 的财富密码

整个事件中,wojak 的那一笔神奇的交易依旧是关注本次事件的群众口中一直谈论的话题。究竟是什么样的奇技淫巧能让自动执行的代码找到后门,并且触发后门?

在 DappReview 与 wojak 的对话中,给出了答案:

Discord 深度挖掘还原,wojak 究竟如何转走 2600 万 TRX 的?

wojak 的灵感来自于 2018 年 8 月的一篇论文《TEETHER: Gnawing at Ethereum to Automatically Exploit Smart Contracts》

该论文主要讲了什么呢?

基于底层的 EVM 指令,提出了存在漏洞的智能合约的一种广义定义;提出了 TEETHER 工具,该工具能够对于智能合约的字节码进行自动化的漏洞识别并生成相应的漏洞利用代码;对于以太坊区块链中部署的 38,757 个智能合约进行了大规模的漏洞分析,其中 TEETHER 工具发现了 815 个合约中的漏洞,整个过程完全自动化。

用一个不恰当但是通俗的比喻来说:TEETHER 工具就是一台能自动从智能合约找漏洞并且提款的 ATM 机。

wojak 基于这篇文章做了什么事情?

Discord 深度挖掘还原,wojak 究竟如何转走 2600 万 TRX 的?

1、把 TEETHER 工具针对波场虚拟机做了适配;

2、收集波场上所有智能合约;

3、对所有的合约执行 TEETHER 工具来分析;

4、找到可能的套利机会 比如从合约 A 中以 X 的价格购买某 Token,然后在合约 B 中以 Y 价格卖出(Y 大于 X),整个流程都是自动化执行而且合法;

5、工具会产生一系列可能产生收益的交易列表;

6、脚本自动执行并出发这些交易。

本质上,那一笔神奇的交易就是这样自动触发的,连他自己都不知道发生了什么。至于 wojak 本身的行为是否可以定义为「黑客」,或者「违法」,此处暂且不展开深究。

有兴趣研究这篇「财富密码」的请看:

https://publications.cispa.saarland/2612/1/main.pdf

截至发稿,Tronbank 已经宣布完成了链上投资数据的收集,统计完成后将按照原计划发放赔付 TRX。此外,TSC 开发者 Khanh 已经关闭了个人 Twitter 和 Facebook。

来源链接:mp.weixin.qq.com

更多区块链项目资讯,请访问

TokenTM

本文链接地址: http://www.wooddoorqd.cn/yule/774.html

栏目:娱乐      围观:

相关阅读

本月热点