从波场生态一周3次攻击分析DApp“攻击溢出”真相

2018年，EOS引爆了DApp市场，众多公链开始角逐这一市场。 其中，波场TRON正通过一系列扶持计划积极打造DApps。 据DAppTotal数据显示，截至4月21日，波场TRON上活跃DApp达132个，累计日活跃用户近5万，日交易量超过2亿TRX。 这些数据让 Tron 似乎有能力在 DApp 市场上与以太坊和 EOS 竞争。

然而，EOS生态繁荣的背后，却是安全事件频发。 PAData与区块链数据与安全服务商PeckShield在《EOS DApp安全生态底层》系列报告中进行了统计。 总损失达 319 万美元。

事实上，面对攻击，所有公链上的任何DApp都只能“投降”。 4月11日，TRON上的DApp TronBank遭到攻击，损失超过1.8亿BTT，直接将TRON的安全生态推向了舆论的风口浪尖。 TRON的安全生态现状如何？ 对 EOS 的攻击是否“溢出”到 TRON？ PAData再次携手PeckShield，开启TRON的DApp安全生态。

单次攻击平均损失超16万美元，彩票DApp成重灾区

事实上，早在2018年，波场TRON上的部分DApp就已经遭到攻击。 第一个被攻击的 DApp 是彩票应用 TRONWIN。 2018年12月30日，TRONWIN在推特上发布官方公告称遭到攻击，共损失200万TRX和10亿WIN。 按照现在的货币价格换算，总损失超过29万美元。 这种攻击的确切方法尚不清楚。

除了此次攻击方式不明的安全事件外，目前监测到的另外3起安全事件的攻击方式包括：附加漏洞攻击、随机数攻击、假币攻击。

其中，4月8日发生的新增漏洞攻击是对TRC20智能合约中TransferMint（CVE-2019-11420）的攻击。 由于代币转账功能没有验证转账方和接收方是否为同一用户，导致用户转账给自己即可实现无限增发代币。 TransferMint漏洞是合约层面的漏洞。 只要 DApp 部署了此类合约，就有可能在此次攻击中蒙受损失。

据PeckShield动态感知平台统计，共有20余款DApp或合约受到额外漏洞攻击，包括彩票应用TronCrush、智能合约Iseri Project、RockstarToken等，但具体损失值未知。 毋庸置疑，目前，附加漏洞攻击是波场生态安全中“杀伤范围”最广的一种攻击方式，这一隐患依然存在。 PeckShield TRON安全负责人郑飚表示，“现在DApp之间存在相互抄袭代码的可能，之前被忽视的漏洞可能会被永远推迟，这些漏洞是否会再次被攻击在一定程度上取决于DApp的存在，对应的Token有没有价值？

TRON 的 DApp 攻击也出现了“连锁反应”。 就在附加漏洞攻击发生两天后，TronWoW 在 4 月 10 日遭遇了随机数攻击，由于彩票合约没有验证投注范围，允许用户在与链上 DApp 直接交互时构造恶意输入，实现了100%的中奖率。 此次攻击导致项目方损失超过200万个TRX，折合近6.5万美元。 4 月 11 日，TronBank 遭遇假币攻击。 BTTBank 智能合约没有验证 TRC10 代币 ID（TokenID），导致任何 TRC10 代币都被兑换成真正的 BTT。 在此次攻击中，项目方共损失超过1.8亿枚BTT，折合损失超过12.5万美元。

在这4起安全事件中，4个被攻击的DApp中有3个是彩票应用，1个是风险应用。 彩票应用成为波场TRON安全生态的“重灾区”。

回顾至今，波场安全生态虽然只有4起事件，但有两项数据已经超越了EOS。 首先，从安全事件的发生频率来看，TRON每周3次的频率已经超过了EOS的每周2次[1]。 但必须要声明的是，TRON一周三次可能是峰值，具有一定的特殊性和偶然性。 因为第二次安全事件发生在第一次安全事件发生3个多月后，“这里面有很多外部因素”，郑飚解释说：“其实今年1-3月，整体上发生的事件很少。”事件中，不仅波场TRON，以太坊、EOS等其他公链，合约被攻击的情况也较少，这可能是因为黑客正在休息或学习探索其他公链。

其次，从安全事件造成的损失来看，TRON中有损失记录的三起安全事件平均造成的损失在16万美元以上。 也超过了12万美元，远超EOS单次安全事件平均损失6.5万美元。

黑客还需要“练习”与余额和币价无关的攻击行为

从EOS安全事件来看，黑客主要选择一些交易量较大的DApp进行攻击，但根据PAData此前的分析，黑客攻击的时机与币价无关。 也就是说，不管有多少钱，只要觉得有利可图或者获利的可能性比较大，黑客就会攻击。

这是否也存在于波场上的安全生态中？

对此，郑飚表示，目前波场TRON生态安全受到的攻击与波场生态的繁荣程度、资金池中的资金量大小没有一定的关联。 他认为，黑客在选择攻击目标时可能有两种主要选择。 一种类似于EOS安全生态，就是“选大户”启动。 “用户数或者交易量排名比较靠前，就会成为他们的主要攻击目标。” 比如最近发生的两起安全事件以太坊公链dapp安全吗，根据DAppTotal的排名，TronWoW在攻击当天（4月10日）排名第4，TronBank在攻击当天（4月11日）排名第1 ).

对于黑客来说，另一种选择可能是避开“大玩家”而选择“老实人”。 因为“大户”往往本身就很有钱，安全风控会比其他DApp好，所以被黑客攻击的可能性会小。 这种选择发生在更早的两起安全事件中。 根据DAppTotal排名，TRONWIN在攻击当天（2018年12月30日）排名第39位，TronCrush在攻击当天（4月8日）排名第39位。 排名是第31位。

显然，无论是高排名还是低排名（即用户数[2]）都可能成为攻击的目标。 从单个 DApp 的纵向角度来看，黑客会针对某个 DApp。 或者TRX）都在高位攻击，是为了最大化单个收益？ 答案是不。

PAData统计了4个被攻击DApp的历史合约余额，发现攻击并未发生在历史高位附近，而是多处于中低水平。

从攻击当天的代币交易价格来看，代币价格并不是影响黑客攻击的主要因素。 PAData匹配了攻击发生当天TRX或DApp代币在CoinMarketCap上的收盘价，将代币的历史价格按照25%分位数、50%分位数（中位数）和75%分位数分成4份。 数量等级，低于25%的百分位价格记为低，25%-50%的百分位价格记为中低，50%-75%的百分位价格记为中高，高于75%的百分位价格记录为高。 匹配结果显示，4次攻击发生时，币价分别处于低位、中低位和中高位。 相反，当币价处于历史高位时，没有发生攻击。

郑飚认为，“从黑客的角度来看，黑客更有可能会对每个合约进行渗透测试，找到突破口后再发起攻击。” 这意味着黑客还需要“练习”和选择攻击。 对象可能存在一些偶然性，但与生态繁荣程度、币价、用户数量、交易量等没有必然联系。

“攻击溢出”的时效性有限和公链的特性决定了溢出的程度

过去，EOS上的安全事件可能更多，但最近波场上发生的一系列安全事件表明，安全事件可能正在从EOS蔓延到TRON。 不过，PeckShield EOS安全负责人施华国和波场TRON安全负责人郑飚均表示，EOS生态中发生的安全事件“溢出效应”非常有限。

一方面，每条公链都在不断升级、完善和修复漏洞，所以如果黑客想要在不同的公链上攻击类似的漏洞逻辑，及时性非常重要。 窗口期过后，其他公链可能已经填补了这个漏洞。

另一方面，更重要的是，虽然攻击思路可能大同小异，但由于每条公链都有自己独特的特点，所以具体攻击方式在每条公链上的实现肯定是不同的。

例如，EOS 抽奖时，允许延迟交易过程。 这种 EOS 特有的机制可能会导致随机数攻击或阻塞交易攻击。 相反，波场上没有类似延迟交易的机制，因此针对延迟交易漏洞的随机数攻击可能不会直接出现。 此外，许多安全事件需要由某些特定条件触发。 这些具体情况可能会出现在以太坊或EOS上，但不会出现在TRON上，所以TRON不会面临这些攻击，但TRON可能会有一些其他与自身链的特性相关的攻击方式出现。

以4月11日TronBank遭受BTT代币攻击为例，郑飚解释说，在波场TRON中，除了TRX，还有对标以太坊ERC20的TRC20代币，为了降低用户使用平台的门槛，TRC10为促进公链繁荣而推出的token，前者需要通过智能合约进行控制，后者可以由用户直接发起。 TRON 的创新之处在于允许在智能合约内自由转移由非智能合约创建的非平台币，这是以太坊和 EOS 都没有的。 但是TronBank智能合约在合约内部转账的过程中并没有检测到用户输入的TokenID，从而导致了“恶心真实”的攻击。

PAData之前的文章也总结了EOS安全事件攻击手段的演化路线，从系统攻击开始以太坊公链dapp安全吗，到编程逻辑漏洞，再到编程算法漏洞，最后发展成综合手段。 但波场安全事件一开始就直接跳过前两步，直接进入基于泛随机数等方式的算法漏洞攻击。 这是否意味着TRON的安全生态出现了“跨越式突变”？

对此，郑飚认为，“整个攻击和反击都是围绕平台展开的，随着平台的发展，黑客也会跟着平台更新。” EOS刚推出的时候，DApps并不繁荣，黑客可以攻击的目标很少，所以可能更关注底层公链。 但是TRON借鉴了以太坊和EOS的精髓，所以其底层公链出现问题的概率很低。 同样，TRON上的DApp出现的时间晚于以太坊和EOS上的DApp，项目方也可以借鉴之前的DApp，所以TRON的安全生态似乎直接进入了攻击程序算法漏洞的第三步，但这确实不排除TRON安全生态面临系统攻击和程序逻辑漏洞的可能。

此外，由于公链的治理特性，TRON上DApp的智能合约一旦上线，合约代码是固定的、不可逆的、不可更改的。 当面临攻击时，除非项目方之前做了一些B计划，否则损失可能会继续扩大。

“我们后来观察到，TronBank 出事后，部分用户仍然进行了正常的投资，这些投资的 BTT 也有可能被黑客窃取。” 郑飚建议，不仅项目方要检查项目代码逻辑的可靠性，个人用户也有必要及时更新DApp的安全状态信息。

笔记：

[1] 参考PAData《从底层看EOS DApp安全生态》系列报告（上篇、下篇）。

[2] DAppTotal上的排名是基于DAU的，即排名高意味着日活跃用户多。