前言
北京时间2022年2月14日晚,TitanoFinance遭到攻击,损失3200万TITANO代币。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。
分析
基础分析
攻击者地址:0xad9217e427ed9df8a89e582601a8614fd4f74563
攻击者创建合约MultipleWinnersProxyFactory:0x940151f5bbbcda5b1b482592d816e96f80d6073a
攻击者创建合约MultipleWinnersBuilder:0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a
攻击者创建合约MultipleWinners:0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046
官方合约StakePrizePool:0x4d7f0a96967dce1e36dd2fbb131625bbd9106442
漏洞分析
此次事件,漏洞关键在于官方StakePrizePool合约中的setPrizeStrategy方法被攻击者所利用,但该方法只有管理员才有权限进行操作。
随后攻击者将合约中的_prizeStrategy地址设置为攻击者创造的合约MultipleWinners的地址
获得权限后,攻击者使用MultipleWinners合约中的_awardTickets方法铸造了3200万TicketTitano代币到攻击者地址
攻击者获取代币后,将代币进行转换,最终通过PancakeSwap将其转换为BNB,随后分散资金到各个地址
总结
本次攻击事件核心原因在于官方StakePrizePool合约中的仅管理员调用方法被恶意利用,成因或许是项目方管理地址泄露,也可能是掌握管理员私钥的人监守自盗。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
1AtlasDEX(ATS)TokenSaleResultTheGate.ioStartupAtlasDEX(ATS)saleresultisasfollows:ATSStartupSaleAm.
尊敬的用户:?????????BKEXGlobal即将上线DPX,详情如下:上线交易对:DPX/USDT??币种类型:ERC20充值功能开放时间:已开放交易功能开放时间:2022年2月20日15.
一、项目简介? SwopX是一个现代的、分散的易货/交换生态系统,建立在带有智能合约的区块链上,奖励合格的交易者交换实物非商品资产、数字内容和服务.
尊敬的用户:? 本着保护用户的宗旨,BKEXGlobal为保证交易币种的高标准,将定期对平台内的代币进行综合性审查;如项目方出现对投资者不利因素,我们将采取对应措施,并下架对应项目.
据Fxempire2月22日消息,据俄罗斯财政部近日向俄罗斯政府提交的“关于数字货币”的联邦法律草案,虽然俄罗斯将继续禁止在俄罗斯联邦境内使用数字货币作为支付手段.
2月16日,芝加哥大学ZhiguoHe与乔治梅森大学JiasunLi发表论文《合约执行与去中心化共识:Slashing案例,》.