前言
北京时间2022年2月14日晚,TitanoFinance遭到攻击,损失3200万TITANO代币。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。
分析
基础分析
攻击者地址:0xad9217e427ed9df8a89e582601a8614fd4f74563
Gate.io将于2月4日上线PERP交易:据官方公告,Gate.io将于2月4日(今日)16:00上线Perpetual Protocol(PERP)交易。风险提示:请务必注意价格变化,提前调整市场挂单,切勿追高。[2021/2/4 18:53:05]
攻击者创建合约MultipleWinnersProxyFactory:0x940151f5bbbcda5b1b482592d816e96f80d6073a
Gate.io 今日中午12点上线ORN交易:Gate.io将于今日(1月18日)中午12:00上线 Orion Protocol (ORN) 交易。风险提示:请务必注意价格变化,提前调整市场挂单,切勿追高。[2021/1/18 16:25:22]
攻击者创建合约MultipleWinnersBuilder:0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a
“Gate.io理财宝”PoS理财上线Tron活期理财:据官方公告,“Gate.io理财宝”已上线《波场TRX PoS挖矿活期理财第四期》认购,币年化收益率根据网络产出情况调整。详情见原文链接。[2020/7/21]
攻击者创建合约MultipleWinners:0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046
官方合约StakePrizePool:0x4d7f0a96967dce1e36dd2fbb131625bbd9106442
漏洞分析
此次事件,漏洞关键在于官方StakePrizePool合约中的setPrizeStrategy方法被攻击者所利用,但该方法只有管理员才有权限进行操作。
随后攻击者将合约中的_prizeStrategy地址设置为攻击者创造的合约MultipleWinners的地址
获得权限后,攻击者使用MultipleWinners合约中的_awardTickets方法铸造了3200万TicketTitano代币到攻击者地址
攻击者获取代币后,将代币进行转换,最终通过PancakeSwap将其转换为BNB,随后分散资金到各个地址
总结
本次攻击事件核心原因在于官方StakePrizePool合约中的仅管理员调用方法被恶意利用,成因或许是项目方管理地址泄露,也可能是掌握管理员私钥的人监守自盗。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。