5月4日,DappReview发文称,北京时间5月3日凌晨4点12分,一笔神奇的合约调用转走了TronBank合约中的2673万TRX,合约余额归零。发生被盗事件约2个小时之后,调走这一笔2673万TRX的地址THeRTT**拥有者wojak现身了。根据wojak的说法,他写了个脚本在分析波场虚拟机字节码,批量扫描合约并发起交易看看有没有什么能赚到钱的方法,结果偶然之中命中了Tronbank合约的bug。一开始连他自己都不知道这笔钱是从Tronbank打过来的。社区里部分人建议wojak把钱还给Tronbank开发者,而wojak认为这不是他的问题,开发者应该自己写测试例子,做审计以及至少跑一些形式化验证,他愿意把这笔钱原封不动还给Tronbank的每一个投资者,而不是项目方的开发者。根据已有的信息,断定“是开发者在合约之中放置后门”这个结论仍然为时过早,目前可以得出的客观结论只有两点:1.TRXPro在主网的合约中存在后门;2.TSC上认证过的代码与实际合约运行逻辑不符。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。