前言
北京时间2022年2月14日晚,TitanoFinance遭到攻击,损失3200万TITANO代币。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础分析攻击者地址:0xad9217e427ed9df8a89e582601a8614fd4f74563攻击者创建合约MultipleWinnersProxyFactory:0x940151f5bbbcda5b1b482592d816e96f80d6073a攻击者创建合约MultipleWinnersBuilder:0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a攻击者创建合约MultipleWinners:0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046官方合约StakePrizePool:0x4d7f0a96967dce1e36dd2fbb131625bbd9106442漏洞分析
Titanium Blockchain CEO对2100万美元的加密欺诈指控认罪:金色财经报道,根据美国司法部(DOJ)发布的新闻稿,Titanium Blockchain Infrastructure Services(TBIS)的首席执行官Michael Stollery承认通过欺诈性的首次代币发行(ICO)从美国和海外投资者那里筹集了2100万美元。Stollery和他的公司最初于2018年5月被指控犯有证券欺诈罪。根据法庭文件,Stollery没有按照要求在SEC注册ICO,承认在其网站上伪造代币白皮书以及盈利前景,并在TBIS的网站上植入了虚假的客户推荐,并谎称他与美联储和数十家知名公司有业务关系。Stollery还承认,他没有将客户的钱用于投资,而是将至少一部分资金用于个人信用卡还款和夏威夷度假屋的账单。Stollery因证券欺诈罪名面临最高20年监禁,定于11月18日宣判。[2022/7/26 2:37:18]
美国宪法副本拍卖失败后,ConstitutionDAO成员或无法获得全额退款:11月22日消息,美国宪法副本拍卖失败后,ConstitutionDAO成员或无法获得全额退款。根据此前披露的消息显示,ConstitutionDAO为拍卖筹集了超过 4500 万美元,一些成员要求退款,然而,许多刚接触以太坊生态系统的捐赠者没有意识到,该网络的高昂gas费用意味着他们捐赠金额无法被全额退回ConstitutionDAO的Discord社区中已经有人提出不想支付退款的gas费用。此外,ConstitutionDAO还宣布任命两位新的组织领导者,分别是去中心化自治组织核心贡献者 Brian Wagner和Web 3爱好者Liminal Warmth,目前尚不清楚这两位新领导者将如何解决ConstitutionDAO退款问题。[2021/11/22 22:08:15]
此次事件,漏洞关键在于官方StakePrizePool合约中的setPrizeStrategy方法被攻击者所利用,但该方法只有管理员才有权限进行操作。
动态 | 受交易所下架BSV事件影响,请愿网站iPetitions.com出现反BCH运动:据Zycrypto消息,对于币安、Kraken等交易所相继下架BSV事件,虽然受到了多方欢迎,但也有业内人士表达了担忧和不满。例如,请愿网站iPetitions.com上开始出现将BCH与BSV一起除名的请愿书。该请愿书明确说明:“越来越多的交易所正在退市BITCOIN SV(BSV),比特币现金(BCH)也应该一起退市,因为它只会造成混乱,而且与BSV相同”。请愿书的链接发布在社交媒体网站上,并收到各种各样的反应。据最近报道,日本加密货币交易所VcTrade所属运营公司SBI Virtual Currencies宣布,已决定废除上线BCH。如果从交易所移除BCH的行动像下架BSV那样蔓延,那么它会对比特币与其他加密货币市场的价格产生巨大影响。此前消息,比特币核心开发者Jimmy Song也对此事表达了不一样的看法,他表示,下线加密货币会让人们形成“交易所是权威缔造者”的不良印象,最终会危害整个加密行业。[2019/4/18]
随后攻击者将合约中的_prizeStrategy地址设置为攻击者创造的合约MultipleWinners的地址
获得权限后,攻击者使用MultipleWinners合约中的_awardTickets方法铸造了3200万TicketTitano代币到攻击者地址
攻击者获取代币后,将代币进行转换,最终通过PancakeSwap将其转换为BNB,随后分散资金到各个地址总结
本次攻击事件核心原因在于官方StakePrizePool合约中的仅管理员调用方法被恶意利用,成因或许是项目方管理地址泄露,也可能是掌握管理员私钥的人监守自盗。近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。