前言
北京时间2022年2月14日晚,TitanoFinance遭到攻击,损失3200万TITANO代币。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础分析攻击者地址:0xad9217e427ed9df8a89e582601a8614fd4f74563攻击者创建合约MultipleWinnersProxyFactory:0x940151f5bbbcda5b1b482592d816e96f80d6073a攻击者创建合约MultipleWinnersBuilder:0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a攻击者创建合约MultipleWinners:0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046官方合约StakePrizePool:0x4d7f0a96967dce1e36dd2fbb131625bbd9106442漏洞分析
Litentry宣布推出身份管理工具IdentityHub Alpha:4月6日消息,Litentry宣布推出IdentityHub Alpha,其将隐私和安全放在首位的身份管理工具。IdentityHub (IDHub) Alpha使用户能够链接他们的身份、维护信任评分并生成可验证的凭证,以控制对区块链应用程序的访问和数据共享。[2023/4/6 13:48:23]
ConstitutionDAO 在竞拍《宪法》副本失败后提供退款和换取新治理代币两个选项:11月21日消息,去中心化自治组织 ConstitutionDAO 将对每个用户的 PEOPLE 代币持仓量(包括已认领和未认领的)进行快照,一周之内将会建立一个网站,用户可以以初始兑换价格将 PEOPLE 兑换为 ETH。此外,用户也可以选择不兑换,将资金投入到 DAO 金库,换取新的治理代币 WTP(We The People)。
11 月 19 日,ConstitutionDAO 出价 4100 万美元竞拍美国《宪法》副本,但未最终拍得。[2021/11/21 7:02:47]
此次事件,漏洞关键在于官方StakePrizePool合约中的setPrizeStrategy方法被攻击者所利用,但该方法只有管理员才有权限进行操作。
Coinbase Institutional:过去一个月SOLUSD交易量呈指数级增长:9月10日消息,Coinbase Institutional发推称,过去一个月SOLUSD交易量呈指数级增长。[2021/9/10 23:16:24]
随后攻击者将合约中的_prizeStrategy地址设置为攻击者创造的合约MultipleWinners的地址
获得权限后,攻击者使用MultipleWinners合约中的_awardTickets方法铸造了3200万TicketTitano代币到攻击者地址
攻击者获取代币后,将代币进行转换,最终通过PancakeSwap将其转换为BNB,随后分散资金到各个地址总结
本次攻击事件核心原因在于官方StakePrizePool合约中的仅管理员调用方法被恶意利用,成因或许是项目方管理地址泄露,也可能是掌握管理员私钥的人监守自盗。近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。