PLA:慢雾发布TitanoFinance被黑简析,owner角色可任意设置setPrizeStrategy函数

安全机构慢雾科技发布TitanoFinance被黑简析,2022年2月14日,BSC链上的TitanoFinance项目遭受攻击,慢雾安全团队分析认为:

1.在2022-02-1018:48:04(UTC),攻击者创建了相关的攻击合约(0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a);

2.在2022-02-144:36:21(UTC),攻击者调用第一步中的0x186620合约中的createMultipleWinnersFromExistingPrizeStrategy函数创建了恶意的prizeStrategy合约0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046;

Dragon Evolution与P2E生态管理系统Infinity Force达成战略合作:3月12日,据官方消息,GameFi元宇宙Dragon Evolution与P2E生态管理系统Infinity Force达成战略合作。

Infinity Force将允许任何人在Dragon Evolution平台上边玩边赚。同时,Dragon Evolution将在Infinity Force用户群中获得更多曝光,将有助于该项目构建更好的社区和游戏经济。

据此前报道,Infinity Force完成550万美元种子轮融资,由Animoca Brands领投,Jump Capital、LD Capital、SkyVision Capital、OKX Blockdream Ventures、MEXC、GSR、Double Peak Group、Tokenbay Capital、DWeb3等参投。[2022/3/13 13:53:18]

3.在2022-02-144:39:12(UTC),StakePrizePool合约(0x4d7f0a96967dce1e36dd2fbb131625bbd9106442)中,owner(0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8)调用了setPrizeStrategy函数(该函数仅owner可以调用),使得_prizeStrategy被改成了0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046;

报告:2022年更多游戏公司将采用区块链和P2E模式:2月24日消息,游戏研究公司Newzoo在一份报告中表示,该公司预测,随着游戏公司尝试采用区块链,P2E模式将在2022年变得更加可行:“发行商可能会使用区块链技术在一个中心化的游戏环境中促进更安全、更合法的玩家对玩家(player-to-player)交易。”

同时,盈利流多样化的需求可能会导致电子竞技组织通过使用NFT转向基于区块链的盈利机制。正因为如此,涉及区块链的新电竞商业模式开始出现,并将在2022年有更多的发展。

除此之外,该报告还显示,随着年轻玩家继续频繁参与《Roblox》、《堡垒之夜》和《我的世界》等现有的“原型元宇宙”游戏,与元宇宙相关的游戏也可能变得更加流行。(Cointelegraph)[2022/2/24 10:13:43]

4.在2022-02-144:41:51(UTC),接着攻击者调用了所创建的恶意的prizeStrategy合约(0x49D078)中的_awardTickets函数,该函数调用了prizePool合约中(0x4d7f0a)的award函数,该函数需要满足onlyPrizeStrategy修饰器条件(_msgSender()==address(prizeStrategy)),该函数会给指定的to地址mint指定数量的ticket代币(TicketTitano(TickTitano);此时prizePool合约中的_prizeStrategy已经在上一步被修改成0x49D078,满足onlyPrizeStrategy的条件,于是StakePrizePool合约给攻击者mint了32,000,000个ticket代币;

GameFi生态系统Oort Digital宣布与P2E游戏PlaceWar达成合作:2月19日消息,GameFi 生态系统 Oort Digital 宣布与去中心化 P2E 战略型游戏 PlaceWar 建立合作伙伴关系,旨在为两个社区带来额外的价值和效用。本次合作中,使用 Oort Digital 进行借贷 PlaceWar 游戏内 NFT 的用户获得奖励,对租赁行为的激励将有助于降低新玩家进入 PlaceWar 游戏的准入门槛,而当前的 PlaceWar NFT 持有者也将能够获得被动收入。

Oort Digital 是一个 GameFi 生态系统,该生态系统由 NFT 租赁、Play-to-Earn RPG 对战游戏,以及允许任何第三方游戏接入的元宇宙组成,可以为 NFT 衍生出若干附加功能,并通过金融化、游戏化和互操作性使 NFT 发挥作用。[2022/2/19 10:02:51]

5.在2022-02-144:43:18(UTC),StakePrizePool合约(0x4d7f0a)中,owner再次调用了setPrizeStrategy函数,将_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7;

6.最后攻击者调用StakePrizePool合约(0x4d7f0a)中的withdrawInstantlyFrom函数将ticket代币换成Titano代币,然后在pancake池子中把itano换成BNB,攻击者重复了这个过程8次,最后共获利4,828.7BNB,约1900w美元。

据慢雾MistTrack分析,攻击者最初的获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑资金已被攻击者转移到其他23个钱包。此次主要由于owner角色可以任意设置setPrizeStrategy函数,导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。对此,慢雾安全团队建议,对于敏感的函数操作,建议采用多签钱包的角色来操作,或者把owner角色权限移交给社区管理。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:46ms0-7:324ms