前言
北京时间2022年2月14日晚,TitanoFinance遭到攻击,损失3200万TITANO代币。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。
分析
基础分析
攻击者地址:0xad9217e427ed9df8a89e582601a8614fd4f74563
美国财政部和国税局提议经纪商报告所有数字资产销售或交易的总收益:金色财经报道,美国财政部和国税局发布了一套加密货币法规提案,详细说明了经纪商的报告要求。美国小企业管理局倡导办公室透露,“拟议的规则将要求数字资产经纪人,包括交易平台、支付处理商和某些托管钱包提供商,报告自2025年1月1日起所有数字资产销售或交易的总收益。”
经纪商(在监管提案中被称为“数字资产中间商”)也将需要提供有关加密资产销售过程中产生的收益和损失的信息。不过,此要求将于2026年1月1日或之后生效。美国财政部和国税局已邀请美国的小企业分享这些法规将如何影响他们,定于2023年11月7日举行的公开听证会将支持这一点。一旦签署成为法律,该法规将要求美国所有经纪商使用新的1099-DA表格向IRS提交信息申报表,并向客户提供收款人报表。[2023/9/7 13:24:29]
攻击者创建合约MultipleWinnersProxyFactory:0x940151f5bbbcda5b1b482592d816e96f80d6073a
某巨鲸预计实现利润32万美元:金色财经报道,据推特用户余烬监测,某巨鲸6月22日以来买入20000枚ETH(成本1923美元)和2760枚MKR(成本918美元),30分钟前开始出售MKR收获利润,他将1398MKR(156万美元)转入币安,链上出售200MKR(22万美元)。预计实现利润32万美元。此外,该巨鲸在6月22日以来,向币安转入7846万枚USDC。[2023/7/26 15:59:28]
攻击者创建合约MultipleWinnersBuilder:0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a
江苏出台工信领域数字人民币试点实施方案:5月29日消息,近日,江苏省工信厅印发《江苏省工业和信息化领域数字人民币试点实施方案》,提出在全省工信系统、工业和信息化领域重点企业和产业园区推广数字人民币应用,拓展数字人民币应用场景,赋能行业创新发展。围绕数字人民币应用场景建设,推动相关技术及软硬件产品创新,力争到2025年实现数字人民币账户规上工业企业基本覆盖,工信领域首创性示范性应用场景数量在试点省份领先,打造一批智慧江苏建设试点示范项目,形成更多可复制可推广的试点经验。[2023/5/29 9:48:59]
攻击者创建合约MultipleWinners:0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046
官方合约StakePrizePool:0x4d7f0a96967dce1e36dd2fbb131625bbd9106442
漏洞分析
此次事件,漏洞关键在于官方StakePrizePool合约中的setPrizeStrategy方法被攻击者所利用,但该方法只有管理员才有权限进行操作。
随后攻击者将合约中的_prizeStrategy地址设置为攻击者创造的合约MultipleWinners的地址
获得权限后,攻击者使用MultipleWinners合约中的_awardTickets方法铸造了3200万TicketTitano代币到攻击者地址
攻击者获取代币后,将代币进行转换,最终通过PancakeSwap将其转换为BNB,随后分散资金到各个地址
总结
本次攻击事件核心原因在于官方StakePrizePool合约中的仅管理员调用方法被恶意利用,成因或许是项目方管理地址泄露,也可能是掌握管理员私钥的人监守自盗。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。