MULTI:Titano Finance攻击事件分析_ShiPlay

前言

北京时间2022年2月14日晚,TitanoFinance遭到攻击,损失3200万TITANO代币。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

分析

基础分析攻击者地址:0xad9217e427ed9df8a89e582601a8614fd4f74563攻击者创建合约MultipleWinnersProxyFactory:0x940151f5bbbcda5b1b482592d816e96f80d6073a攻击者创建合约MultipleWinnersBuilder:0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a攻击者创建合约MultipleWinners:0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046官方合约StakePrizePool:0x4d7f0a96967dce1e36dd2fbb131625bbd9106442漏洞分析

TiTi协议宣布以3000万美元估值完成350万美元融资,Spartan Group等参投:官方消息,算法稳定币TiTi协议宣布以3000万美元估值完成350万美元融资,Spartan Group、SevenX Ventures、Incuba Alpha、DeFi Alliance、Agnostic Fund、Fourth Revolution Capital、Solidity Venture、0xb1、Tascha、Nipun、Michael等参投。TiUSD是由TiTi协议发布的稳定币。[2022/4/11 14:17:54]

Titans Ventures与NFT市场Colexion达成战略合作:1月16日消息,越南区块链风投机构Titans Ventures宣布,与NFT市场Colexion达成战略合作。[2022/1/17 8:53:29]

此次事件,漏洞关键在于官方StakePrizePool合约中的setPrizeStrategy方法被攻击者所利用,但该方法只有管理员才有权限进行操作。

Nvidia表示除了区块链外,禁止在数据中心、大型商业或研究设施中使用GeForce和Titan显卡:芯片制造商英伟达(Nvidia)修改了Geforce和Titan的服务条款,称禁止在数据中心,大型商业或研究设施中使用它们。一个例外是使用区块链技术的卡片,主要是像Ethereum这样的加密货币的应用。[2018/1/8]

随后攻击者将合约中的_prizeStrategy地址设置为攻击者创造的合约MultipleWinners的地址

获得权限后,攻击者使用MultipleWinners合约中的_awardTickets方法铸造了3200万TicketTitano代币到攻击者地址

攻击者获取代币后,将代币进行转换,最终通过PancakeSwap将其转换为BNB,随后分散资金到各个地址总结

本次攻击事件核心原因在于官方StakePrizePool合约中的仅管理员调用方法被恶意利用,成因或许是项目方管理地址泄露,也可能是掌握管理员私钥的人监守自盗。近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-3:511ms