前言
北京时间2022年2月14日晚,TitanoFinance遭到攻击,损失3200万TITANO代币。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。
分析
基础分析
攻击者地址:0xad9217e427ed9df8a89e582601a8614fd4f74563
MetaMask Institutional为组织推出编程访问,可通过API直接访问Web3:金色财经报道,MetaMask机构解决方案MetaMask Institutional(MMI)为组织推出编程访问,编程访问将允许组织通过他们自己的API连接到Web3,将使他们能够创建脚本来完成各种DeFi协议上的复杂执行策略,并构建、定制和自动化脚本以加速交易制作、确认和签名。
MMI的编程访问功能允许组织以编程方式跨多个托管人执行,一个组织不必单独连接到每个托管人,只需连接到一个统一的SDK并在他们选择的所有托管人之间创建交易。[2022/12/14 21:43:55]
攻击者创建合约MultipleWinnersProxyFactory:0x940151f5bbbcda5b1b482592d816e96f80d6073a
一投资者误将超3900万枚People转入ConstitutionDAO合约地址:据Nansen数据,链上标记为enlist.eth的以太坊钱包地址于11月28日10点将39,078,542枚People转入ConstitutionDAO合约地址,总价值超过370万美元。后当事人在社群寻求帮助,表示他原本计划转给自己的老婆,但是地址没复制成功,粘贴为此前的合约地址。
金色财经跟踪报道,目前社区已经开展自发捐款,目前捐赠数额已超过353万枚People,市值约38万美元,这一捐赠数字一直在持续增加,Gate.io及投资人KunyunLi均表示已经参与到捐赠行动中。[2021/11/28 12:37:14]
攻击者创建合约MultipleWinnersBuilder:0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a
Ubitquity与Rainier Title合作利用区块链保存房地产和产权记录:基于区块链的房地产和产权记录保存平台Ubitquity近日宣布将与Rainier Title达成合作,后者是一家服务于华盛顿州的产权和第三方托管公司。Ubitquity将打造一个平台,用于创建代币化的产权记录和产权转让的平行记录。(CryptoNNinjas)[2020/8/7]
攻击者创建合约MultipleWinners:0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046
官方合约StakePrizePool:0x4d7f0a96967dce1e36dd2fbb131625bbd9106442
漏洞分析
此次事件,漏洞关键在于官方StakePrizePool合约中的setPrizeStrategy方法被攻击者所利用,但该方法只有管理员才有权限进行操作。
随后攻击者将合约中的_prizeStrategy地址设置为攻击者创造的合约MultipleWinners的地址
获得权限后,攻击者使用MultipleWinners合约中的_awardTickets方法铸造了3200万TicketTitano代币到攻击者地址
攻击者获取代币后,将代币进行转换,最终通过PancakeSwap将其转换为BNB,随后分散资金到各个地址
总结
本次攻击事件核心原因在于官方StakePrizePool合约中的仅管理员调用方法被恶意利用,成因或许是项目方管理地址泄露,也可能是掌握管理员私钥的人监守自盗。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。