IZE:慢雾:Titano Finance被黑因池子被设置成恶意PrizeStrategy合约造成后续利用

据慢雾区情报,2月14日,BSC链上的TitanoFinance项目遭受攻击,最初获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑资金已被攻击者转移到其他23个钱包。慢雾安全团队分析如下:

1.攻击者创建了相关的攻击合约;

2.攻击者调用第一步中的合约中的函数创建了恶意的prizeStrategy合约;

Coinbase:ALGO发送和接收从3月6日开始出现延迟,目前仍在处理问题:金色财经报道,据Coinbase Assets在社交媒体披露,由于Algorand的应用程序接口(API)发生更改,导致ALGO发送和接收从2023年3月6日开始出现延迟。由于相关交易积压,新的ALGO代币转移可能会以较高的利率被取消。Coinbase表示用户资金是安全的,目前正在努力尽快解决相关延迟问题。[2023/3/8 12:49:40]

3.StakePrizePool合约中,owner调用了setPrizeStrategy函数(该函数仅owner可以调用),使得_prizeStrategy被改成恶意的prizeStrategy合约。

Borderless将与Algorand、Circle在迈阿密推出2500万美元区块链基金:Borderless Capital将在美国迈阿密推出一只2500万美元的区块链投资基金,利用Algorand和稳定币USDC运营商Circle的技术。根据周三的公告,Borderless将帮助本地公司利用 Alogrand 技术建立支付和资本市场平台。基于Alogrand区块链的USDC和Circle 商业服务功能也将成为合资企业的一部分。(Coindesk)[2021/6/2 23:05:47]

4.接着攻击者调用了所创建的恶意的prizeStrategy合约中的_awardTickets函数,该函数调用了prizePool合约中的award函数,该函数需要满足onlyPrizeStrategy修饰器条件(_msgSender()==address(prizeStrategy)),该函数会给指定的to地址mint指定数量的ticket代币。此时prizePool合约中的_prizeStrategy已经在上一步被修改,满足onlyPrizeStrategy的条件,于是StakePrizePool合约给攻击者mint了32,00万个ticket代币。

声音 | Algorand创始人:区块链不可能三角已可解决,Algorand 拥有两大核心优势:据Algorand Official消息,Algorand创始人Silvio Micali教授近日表示,区块链的三难困境意味着组成区块链的三个要素,安全性,可扩展性和去中心化不能同时实现。但是Algorand通过纯权益证明共识算法解决了这个难题。Algorand的另一个优势是它对原子交换的支持。原子交换是指基于不同区块链的加密货币交换。现有的原子交换是通过哈希时间锁定技术进行的,该技术可设置时间并在当时未更改加密货币的情况下取消交易。Algorand区块链证明资产存在于不同的区块链中,可以直接交易。[2019/10/2]

5.StakePrizePool合约中,owner再次调用了setPrizeStrategy函数,将_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7。

6.最后攻击者调用StakePrizePool合约中的函数将ticket代币换成Titano代币,然后在pancake池子中把Titano换成BNB,攻击者重复了这个过程8次,最后共获利4828.7BNB,约190万美元。

该攻击主要由于owner角色可以任意设置setPrizeStrategy函数,导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:0ms0-4:11ms