前言
北京时间2022年2月14日晚,TitanoFinance遭到攻击,损失3200万TITANO代币。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。
分析
基础分析
攻击者地址:0xad9217e427ed9df8a89e582601a8614fd4f74563
币安推出机构数字资产平台Binance Institutional:6月23消息,币安宣布推出面向VIP和机构用户的旗舰平台Binance Institutional,将为各类机构用户提供定制解决方案,包括企业、资产管理公司、经纪商、对冲基金、家族办公室、流动性提供商、自营交易公司、矿工、高净值人士(HNWI)等,解决方案有执行和场外交易服务、资产管理与托管以及流动性计划等。[2022/6/23 1:27:32]
攻击者创建合约MultipleWinnersProxyFactory:0x940151f5bbbcda5b1b482592d816e96f80d6073a
火币“新币挖矿”项目TITAN共有1572人锁仓800万HT参与:据官方消息,火币全球站“全球观察区”已于9月24日 20:00(GMT+8) 首发上线TITAN (Titanswap) ,同时开启 “锁仓HT参与新币挖矿”活动,活动上线111.4 秒即被抢完,共有1572人锁仓800万HT参与。
本期活动火币将提供400万枚 TITAN 代币用于奖励参与新币挖矿活动的锁仓用户。[2020/9/24]
攻击者创建合约MultipleWinnersBuilder:0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a
Titanium ICO项目谎称与迪士尼公司有关系 被SEC指控涉嫌证券欺诈:据coindesk消息,美国证券交易委员会(SEC)已指控一家发起ICO的公司及其总裁涉嫌证券欺诈。被指控的是Michael Stollery(也被称为Michael Stollaire)及其公司Titanium Blockchain Infrastructure Services。SEC指控Stollaire为潜在投资者制造了假信息,他声称Titanium与Paypal和迪士尼等公司有关系,其ICO筹集了高达2100万美元。[2018/5/30]
攻击者创建合约MultipleWinners:0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046
官方合约StakePrizePool:0x4d7f0a96967dce1e36dd2fbb131625bbd9106442
漏洞分析
此次事件,漏洞关键在于官方StakePrizePool合约中的setPrizeStrategy方法被攻击者所利用,但该方法只有管理员才有权限进行操作。
随后攻击者将合约中的_prizeStrategy地址设置为攻击者创造的合约MultipleWinners的地址
获得权限后,攻击者使用MultipleWinners合约中的_awardTickets方法铸造了3200万TicketTitano代币到攻击者地址
攻击者获取代币后,将代币进行转换,最终通过PancakeSwap将其转换为BNB,随后分散资金到各个地址
总结
本次攻击事件核心原因在于官方StakePrizePool合约中的仅管理员调用方法被恶意利用,成因或许是项目方管理地址泄露,也可能是掌握管理员私钥的人监守自盗。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。