前言
北京时间2022年2月14日晚,TitanoFinance遭到攻击,损失3200万TITANO代币。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。
分析
基础分析
攻击者地址:0xad9217e427ed9df8a89e582601a8614fd4f74563
孙宇晨在米尔肯研究院(Milken Institute)官网发表署名文章:近日,波场TRON创始人孙宇晨受邀在米尔肯研究院(Milken Institute)官方网站上发表了题为《区块链行业势必迎来光明的未来》的署名文章。孙宇晨在文章中表示,区块链技术拥有众多创新点,甚至有望彻底改变未来社会的运行方式。他坚信“加密货币寒冬势必终结,区块链行业的前景一片光明。”
据悉,孙宇晨将于9月29日受邀出席2022年米尔肯研究院亚洲峰会(2022 Milken Institute Asia Summit),并与米尔肯研究院亚洲中心主席陈天宗(Curtis S. Chin)就加密货币技术、数字经济等问题展开对谈。[2022/9/15 6:58:23]
攻击者创建合约MultipleWinnersProxyFactory:0x940151f5bbbcda5b1b482592d816e96f80d6073a
ConstitutionDAO与英国苏富比及FTX商讨参与美国《宪法》副本竞拍:金色财经报道,一个组织正在筹集资金,竞标稀有美国宪法副本。该项目的成员正在与拍卖行运营商苏富比和加密货币交易所FTX进行谈判,以尝试实现这一目标。据苏富比拍卖行称,这是最终形式的宪法的首次亮相。该组织的计划是通过一个去中心化的自治组织或DAO来支持这项工作。适当地称为ConstitutionDAO,其想法是以ETH的形式筹集足够的加密货币以在拍卖中购买美国宪法的副本。11月12日,该项目背后的推特账户表示,它正试图筹集2000万美元。加密货币交易所FTX表示,假设DAO赢得拍卖,它将该项目筹集的加密货币兑换成美元进行购买。苏富比将接受该项目的ETH余额作为其拥有竞标拍卖所需资金的证据。(theblockcrypto)[2021/11/15 6:51:53]
攻击者创建合约MultipleWinnersBuilder:0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a
动态 | 币安与合规平台IdentityMind达成合作 优化全球合规性与数据安全性:今日,币安宣布与IdentityMind建立合作伙伴关系。IdentityMind是一家提供KYC及反(AML)服务的风险管理和监管技术合规平台。为携手提升行业标准,双方已就币安全球合规方案、币安全球运营相关既有数据的保护等事项,逐步开启优化方案的探讨与实施。币安首席合规官Samuel Lim表示:“币安与IdentityMind建立合作伙伴关系强化了币安的合规能力,在遵守运营当地国家监管要求的同时,不断改进与优化安全系统,增进全球金融机构之间相互信任的目标。”[2019/3/26]
攻击者创建合约MultipleWinners:0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046
官方合约StakePrizePool:0x4d7f0a96967dce1e36dd2fbb131625bbd9106442
漏洞分析
此次事件,漏洞关键在于官方StakePrizePool合约中的setPrizeStrategy方法被攻击者所利用,但该方法只有管理员才有权限进行操作。
随后攻击者将合约中的_prizeStrategy地址设置为攻击者创造的合约MultipleWinners的地址
获得权限后,攻击者使用MultipleWinners合约中的_awardTickets方法铸造了3200万TicketTitano代币到攻击者地址
攻击者获取代币后,将代币进行转换,最终通过PancakeSwap将其转换为BNB,随后分散资金到各个地址
总结
本次攻击事件核心原因在于官方StakePrizePool合约中的仅管理员调用方法被恶意利用,成因或许是项目方管理地址泄露,也可能是掌握管理员私钥的人监守自盗。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。