前言
北京时间2022年2月14日晚,TitanoFinance遭到攻击,损失3200万TITANO代币。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础分析攻击者地址:0xad9217e427ed9df8a89e582601a8614fd4f74563攻击者创建合约MultipleWinnersProxyFactory:0x940151f5bbbcda5b1b482592d816e96f80d6073a攻击者创建合约MultipleWinnersBuilder:0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a攻击者创建合约MultipleWinners:0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046官方合约StakePrizePool:0x4d7f0a96967dce1e36dd2fbb131625bbd9106442漏洞分析
Matrixport托管解决方案Cactus Custody支持MetaMask Institutional:金色财经报道,Matrixport宣布其托管解决方案Cactus Custody现在支持ConsenSys的MetaMask Institutional(MMI),即Metamask集成了机构合规的托管、运营、风险和合规功能的一个版本。在合作伙伴关系下,MMI与Cactus Custody的DeFi连接器功能集成,该功能创建了满足机构投资者(如加密基金、做市商和交易台)需求的审计跟踪。DeFi连接器可生成一个安全、加密的钱包地址,存储在硬件安全模块中,并允许投资者记录和下载MMI上的所有DApp交互和钱包交易。这项服务将从下个月开始提供。[2021/10/7 20:09:59]
Titan Protocol 主网币TIT将于2020年12月1日发起节点公投:据官方消息,Titan Protocol 主网币TIT将于2020年12月1日发起节点公投,根据底层规则节点矿工投票通过超过半数以上将销毁1亿枚矿池TOKEN。
Titan Protocol 是一个商用级的去中心化应用程序平台。Titan Protocol 将采用一种主节点(Masternode)方案来解决目前 Bitcoin、Ethereum 等传统主流公链所面临的处理交易慢、数据庞大、被少数几个矿池控制的问题。[2020/10/28]
此次事件,漏洞关键在于官方StakePrizePool合约中的setPrizeStrategy方法被攻击者所利用,但该方法只有管理员才有权限进行操作。
动态 | Civic将Identity.com打造为基于加密技术的个人数据市场:据coindesk报道,Civic买入新域名“Identity.com”,计划将其打造为基于加密技术的个人数据市场,将成为拥有信息和需要信息的企业的中心。因此,并非一家公司直接将其用户数据销售给其他公司,而是第一家可以验证数据的公司与用户分享证明,然后用户将与需要该信息的第二家公司共享该证明。[2018/7/18]
随后攻击者将合约中的_prizeStrategy地址设置为攻击者创造的合约MultipleWinners的地址
获得权限后,攻击者使用MultipleWinners合约中的_awardTickets方法铸造了3200万TicketTitano代币到攻击者地址
攻击者获取代币后,将代币进行转换,最终通过PancakeSwap将其转换为BNB,随后分散资金到各个地址总结
本次攻击事件核心原因在于官方StakePrizePool合约中的仅管理员调用方法被恶意利用,成因或许是项目方管理地址泄露,也可能是掌握管理员私钥的人监守自盗。近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。