微博网友称，有个波场的DAPP游戏被黑客攻击，盗了大概200万的TRX(约3.86万美元)。孙宇晨转发该微博并称：会组织波场开发者合约安全培训，减少被黑客攻击的可能性。

据BCSEC调查，本次被攻击的DApp为tronwin，官方称是受到了溢出攻击导致。

黑客钱包地址：

TW5puXLZW3LW7DUs5HrEE2tdtvaVezKmGq

受攻击的两笔交易详情：

https://tronscan.org/#/transaction/346ca48960e57a3c1058647ec59d483ae88ac4969f86d851948069ac1ee883cc

https://tronscan.org/#/transaction/d235eba2c68c675df59be65c17bf12198afa19dc99bbd6c7ec2979902c72ca9b

挑取其中一个看一下

可以看到黑客下注了一笔超大的赌注,这应该就是引起溢出的原因，但是没有进行竞猜（choice里面是空的，没有压大小之类的），证明应该不是通过竞猜来完成获利的。

黑客在完成获利后便向TCvxTyPBK9B5VXWAioqqqJ3U61gBwNbng7转账了2058982个TRX，约200万。

https://tronscan.org/#/transaction/2e8fdc135dbe0e548f0f34c3340f09728a6b4271427439c99de904812fbf51da

不过由于该合约不开源，到底是因为什么变量没进行溢出判断导致的目前还不得而知，而且经过调研，黑客账户此前也经常与其他的菠菜类DApp进行互动，不过都属于正常互动，该账户之前没有对该合约tronwin进行过黑盒测试，而是忽然有一天就对合约进行了攻击，在没有源码的情况下要完成这种操作是很难的，这里不排除监守自盗的可能性。