TIT:Titano Finance攻击事件分析

前言

北京时间2022年2月14日晚,TitanoFinance遭到攻击,损失3200万TITANO代币。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

分析

基础分析

攻击者地址:0xad9217e427ed9df8a89e582601a8614fd4f74563

币安推出机构数字资产平台Binance Institutional:6月23消息,币安宣布推出面向VIP和机构用户的旗舰平台Binance Institutional,将为各类机构用户提供定制解决方案,包括企业、资产管理公司、经纪商、对冲基金、家族办公室、流动性提供商、自营交易公司、矿工、高净值人士(HNWI)等,解决方案有执行和场外交易服务、资产管理与托管以及流动性计划等。[2022/6/23 1:27:32]

攻击者创建合约MultipleWinnersProxyFactory:0x940151f5bbbcda5b1b482592d816e96f80d6073a

火币“新币挖矿”项目TITAN共有1572人锁仓800万HT参与:据官方消息,火币全球站“全球观察区”已于9月24日 20:00(GMT+8) 首发上线TITAN (Titanswap) ,同时开启 “锁仓HT参与新币挖矿”活动,活动上线111.4 秒即被抢完,共有1572人锁仓800万HT参与。

本期活动火币将提供400万枚 TITAN 代币用于奖励参与新币挖矿活动的锁仓用户。[2020/9/24]

攻击者创建合约MultipleWinnersBuilder:0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a

Titanium ICO项目谎称与迪士尼公司有关系 被SEC指控涉嫌证券欺诈:据coindesk消息,美国证券交易委员会(SEC)已指控一家发起ICO的公司及其总裁涉嫌证券欺诈。被指控的是Michael Stollery(也被称为Michael Stollaire)及其公司Titanium Blockchain Infrastructure Services。SEC指控Stollaire为潜在投资者制造了假信息,他声称Titanium与Paypal和迪士尼等公司有关系,其ICO筹集了高达2100万美元。[2018/5/30]

攻击者创建合约MultipleWinners:0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046

官方合约StakePrizePool:0x4d7f0a96967dce1e36dd2fbb131625bbd9106442

漏洞分析

此次事件,漏洞关键在于官方StakePrizePool合约中的setPrizeStrategy方法被攻击者所利用,但该方法只有管理员才有权限进行操作。

随后攻击者将合约中的_prizeStrategy地址设置为攻击者创造的合约MultipleWinners的地址

获得权限后,攻击者使用MultipleWinners合约中的_awardTickets方法铸造了3200万TicketTitano代币到攻击者地址

攻击者获取代币后,将代币进行转换,最终通过PancakeSwap将其转换为BNB,随后分散资金到各个地址

总结

本次攻击事件核心原因在于官方StakePrizePool合约中的仅管理员调用方法被恶意利用,成因或许是项目方管理地址泄露,也可能是掌握管理员私钥的人监守自盗。

近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

币赢区块链:ZT創新板即將上線NVIR

親愛的ZT用戶: ZT創新板即將上線NVIR,並開啟NVIR/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年2月19日16:30; NVIR 項目簡介:NvirWorld是.

以太坊NFT:WEEX合约网络异常公告

尊敬的WEEX用户?您好!目前WEEX交易所网络数据报价异常,技术正在紧急排除中,期间给您带来的不便,敬请谅解;请放心用户之资金都是安全无虞的,待抢修完成后我们将第一时间恢复,谢谢您的耐心.

[0:0ms0-0:721ms