5月4日,DappReview发文称,北京时间5月3日凌晨4点12分,一笔神奇的合约调用转走了TronBank合约中的2673万TRX(价值427万RMB),合约余额归零。发生被盗事件约2个小时之后,调走这一笔2673万TRX的地址THeRTT**拥有者wojak现身了。根据wojak的说法,他写了个脚本在分析波场虚拟机字节码,批量扫描合约并发起交易看看有没有什么能赚到钱的方法,结果偶然之中命中了Tronbank合约的bug。一开始连他自己都不知道这笔钱是从Tronbank打过来的。 社区里部分人建议wojak把钱还给Tronbank开发者,而wojak认为这不是他的问题,开发者应该自己写测试例子,做审计以及至少跑一些形式化验证(很显然他们啥都没干),他愿意把这笔钱原封不动还给Tronbank的每一个投资者,而不是项目方的开发者。根据已有的信息,断定“是开发者在合约之中放置后门”这个结论仍然为时过早,目前可以得出的客观结论只有两点:1. TRX Pro在主网的合约中存在后门;2. TSC上认证过的代码与实际合约运行逻辑不符。
打赏