前言
北京时间2022年2月14日晚,TitanoFinance遭到攻击,损失3200万TITANO代币。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础分析攻击者地址:0xad9217e427ed9df8a89e582601a8614fd4f74563攻击者创建合约MultipleWinnersProxyFactory:0x940151f5bbbcda5b1b482592d816e96f80d6073a攻击者创建合约MultipleWinnersBuilder:0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a攻击者创建合约MultipleWinners:0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046官方合约StakePrizePool:0x4d7f0a96967dce1e36dd2fbb131625bbd9106442漏洞分析
Coinbase成立Coinbase Institute:金色财经消息,Coinbase宣布成立Coinbase Institute,这是一个以研究为基础的全球加密原生智库,使命是加速新颖的研究,并汇集跨学科最优秀的人才,推动去中心化、Web3和金融未来的进步。
Coinbase Institute将围绕四个核心开展工作,1.发布严谨、前沿的加密和web3研究;2.与思想领袖、学者、政策制定者和加密社区进行协作讨论;3.与学术机构和智库建立合作伙伴关系,加速早期研究和技术创新;4.建立一个跨学科的内部团队,以提高公众对加密和Web3的认知。
Coinbase政策主管Hermine Wong将担任Coinbase Institute负责人。(CoinDesk)[2022/5/19 3:26:47]
Titans Ventures和Poolz设立500万美元加密投资基金:11月25日,越南区块链风投机构 Titans Ventures 和跨链 ID0 平台 Poolz 合作,设立 500 万美元投资基金,专注于元宇宙、NFT 和 GameFi 项目。该基金中的 100 万美元将于今年第 4 季度被使用,以资助项目开发和产品发布及营销,剩余 400 万美元将于 2022-2025 年使用,用于项目研究和分析,为社区提供投资机遇。[2021/11/25 7:11:04]
此次事件,漏洞关键在于官方StakePrizePool合约中的setPrizeStrategy方法被攻击者所利用,但该方法只有管理员才有权限进行操作。
Constitution DAO (PEOPLE)24小时交易量超3200万美元:11月25日,据Uniswap数据显示,Constitution DAO原生Token PEOPLE 24小时交易量已达3286万美元。[2021/11/25 7:10:47]
Investite.com首席执行官Jon Najarian批评比特现金是一种中心化加密货币:最近比特现金获得了大量的支持,其主要支持者Roger Ver(比特币耶稣)两度在网络上大肆宣传比特现金并警告大家小心比特币,与此同时,CNBC的Fast Money节目也发布了不少宣传比特现金优势的推文。但在CNBC的最近一期节目中Investite.com首席执行官Jon Najarian却批评比特现金是一种中心化加密货币,仅有两名实际控制人,与网络中的观点形成了鲜明对比,引发比特币圈的关注。[2017/12/29]
随后攻击者将合约中的_prizeStrategy地址设置为攻击者创造的合约MultipleWinners的地址
获得权限后,攻击者使用MultipleWinners合约中的_awardTickets方法铸造了3200万TicketTitano代币到攻击者地址
攻击者获取代币后,将代币进行转换,最终通过PancakeSwap将其转换为BNB,随后分散资金到各个地址总结
本次攻击事件核心原因在于官方StakePrizePool合约中的仅管理员调用方法被恶意利用,成因或许是项目方管理地址泄露,也可能是掌握管理员私钥的人监守自盗。近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。