安全机构慢雾科技发布TitanoFinance被黑简析,2022年2月14日,BSC链上的TitanoFinance项目遭受攻击,慢雾安全团队分析认为:
1.在2022-02-1018:48:04(UTC),攻击者创建了相关的攻击合约(0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a);
2.在2022-02-144:36:21(UTC),攻击者调用第一步中的0x186620合约中的createMultipleWinnersFromExistingPrizeStrategy函数创建了恶意的prizeStrategy合约0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046;
HashKey Capital投资经理:小市值山寨币或将有望迎来新的轮动机会:金色财经报道,HashKey Capital投资经理Rui发布推特称,随着比特币从29000美元跌至25000美元,市场终于走出了震荡区间。假设25000美元是这轮行情(2万-3万美元)的中位数,可能影响市场的关键点如下:
ETF批准仍是短期内最大变数,结果可能在9-10月出炉。ETF如果不通过将进一步打击市场情绪,如果ETF通过,涨回30K也会引发Fomo效应。短期内会继续震荡,等待走势对消息提前做出反应。
监管方面,6月的声明暗示币安与SEC初步达成和解,短期不太可能有突发处罚。
ETH层面,下半年有大量Layer2项目上线,抽象账户等加入,生态层面上如果再不出现新的发展则很多叙事都会证伪,所以链上的活跃度理应会有所提升。
BTC下跌后只要BTC不继续跌则BTCD理论上应该会提升,部分山寨币会出现价格修复行情(持续阴跌+流动性不错)。现阶段交易所山寨币通过暴涨暴跌收割合约的玩法已经比较清晰,可能继续快速轮动的合约小Alts行情。而之前大热的链上山寨币市值已经相对较高,随着大庄的撤出持续暴涨的概率存疑。[2023/8/21 18:12:46]
3.在2022-02-144:39:12(UTC),StakePrizePool合约(0x4d7f0a96967dce1e36dd2fbb131625bbd9106442)中,owner(0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8)调用了setPrizeStrategy函数(该函数仅owner可以调用),使得_prizeStrategy被改成了0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046;
巴西加密资产管理公司 Hashdex 获准在欧盟上市 ETP:金色财经报道,巴西加密资产管理公司 Hashdex 已获准在欧盟上市交易所交易产品 (ETP),该公司表示,Hashdex 已经与包括交易所在内的欧洲服务提供商合作,在欧盟不同国家列出 ETP。该公司新市场负责人 Bruno Sousa 表示:“我们希望成为欧洲主要的加密货币产品发行方,始终推动创新和多元化战略”。5 月,Hashdex 在获得在瑞士运营的批准后,在瑞士 SIX 证券交易所推出了 Hashdex Nasdaq Crypto Index Europe ETP。[2022/9/1 13:01:15]
4.在2022-02-144:41:51(UTC),接着攻击者调用了所创建的恶意的prizeStrategy合约(0x49D078)中的_awardTickets函数,该函数调用了prizePool合约中(0x4d7f0a)的award函数,该函数需要满足onlyPrizeStrategy修饰器条件(_msgSender()==address(prizeStrategy)),该函数会给指定的to地址mint指定数量的ticket代币(TicketTitano(TickTitano);此时prizePool合约中的_prizeStrategy已经在上一步被修改成0x49D078,满足onlyPrizeStrategy的条件,于是StakePrizePool合约给攻击者mint了32,000,000个ticket代币;
区块链开发公司HashCash宣布通过构建原型进军DNA基因组测序:12月23日消息,区块链开发公司HashCash Consultants宣布通过构建原型进军DNA基因组测序,该原型将使用区块链技术保护一个人的遗传信息,在没有隐私问题的情况下共享机密基因组数据。
HashCash首席执行官兼区块链先驱Raj Chowdhury指出:“医学研究专业人员使用基因组图谱更好地了解罕见和常见疾病的潜在机制,如阿尔茨海默氏症、糖尿病和高血压。区块链的非对称加密技术为可为用户提供强大的数据加密能力。”(prweb)[2021/12/23 7:59:10]
5.在2022-02-144:43:18(UTC),StakePrizePool合约(0x4d7f0a)中,owner再次调用了setPrizeStrategy函数,将_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7;
6.最后攻击者调用StakePrizePool合约(0x4d7f0a)中的withdrawInstantlyFrom函数将ticket代币换成Titano代币,然后在pancake池子中把itano换成BNB,攻击者重复了这个过程8次,最后共获利4,828.7BNB,约1900w美元。
据慢雾MistTrack分析,攻击者最初的获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑资金已被攻击者转移到其他23个钱包。此次主要由于owner角色可以任意设置setPrizeStrategy函数,导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。对此,慢雾安全团队建议,对于敏感的函数操作,建议采用多签钱包的角色来操作,或者把owner角色权限移交给社区管理。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。