安全機構慢霧科技發布TitanoFinance被黑簡析,2022年2月14日,BSC鏈上的TitanoFinance項目遭受攻擊,慢霧安全團隊分析認為:
1.在2022-02-1018:48:04(UTC),攻擊者創建了相關的攻擊合約(0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a);
2.在2022-02-144:36:21(UTC),攻擊者調用第一步中的0x186620合約中的createMultipleWinnersFromExistingPrizeStrategy函數創建了惡意的prizeStrategy合約0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046;
慢霧:Poly Network再次遭遇黑客攻擊,黑客已獲利價值超439萬美元的主流資產:金色財經報道,據慢霧區情報,Poly Network再次遭遇黑客攻擊。分析發現,主要黑客獲利地址為0xe0af…a599。根據MistTrack團隊追蹤溯源分析,ETH鏈第一筆手續費為Tornado Cash: 1 ETH,BSC鏈手續費來源為Kucoin和ChangeNOW,Polygon鏈手續費來源為FixedFloat。黑客的使用平臺痕跡有Kucoin、FixedFloat、ChangeNOW、Tornado Cash、Uniswap、PancakeSwap、OpenOcean、Wing等。
截止目前,部分被盜Token (sUSD、RFuel、COOK等)被黑客通過Uniswap和PancakeSwap兌換成價值122萬美元的主流資產,剩余被盜資金被分散到多條鏈60多個地址中,暫未進一步轉移,全部黑客地址已被錄入慢霧AML惡意地址庫。[2023/7/2 22:13:22]
3.在2022-02-144:39:12(UTC),StakePrizePool合約(0x4d7f0a96967dce1e36dd2fbb131625bbd9106442)中,owner(0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8)調用了setPrizeStrategy函數(該函數僅owner可以調用),使得_prizeStrategy被改成了0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046;
慢霧安全提醒:Discord,Telegram頻道公告權限設置提醒:據慢霧安全情報,近期存在項目因 Discord 管理賬戶權限設置問題而造成管理賬戶被接管,并通過公告頻道發布釣魚鏈接,導致社區用戶遭受損失的事件。在此提醒各位注意添加頻道權限設置,管理公告發布,預防仿冒官方人員名稱發布公告及網絡鏈接釣魚問題。[2021/12/24 8:00:42]
4.在2022-02-144:41:51(UTC),接著攻擊者調用了所創建的惡意的prizeStrategy合約(0x49D078)中的_awardTickets函數,該函數調用了prizePool合約中(0x4d7f0a)的award函數,該函數需要滿足onlyPrizeStrategy修飾器條件(_msgSender()==address(prizeStrategy)),該函數會給指定的to地址mint指定數量的ticket代幣(TicketTitano(TickTitano);此時prizePool合約中的_prizeStrategy已經在上一步被修改成0x49D078,滿足onlyPrizeStrategy的條件,于是StakePrizePool合約給攻擊者mint了32,000,000個ticket代幣;
慢霧:2021年上半年共發生78起區塊鏈安全事件,總損失金額超17億美元:據慢霧區塊鏈被黑事件檔案庫統計,2021年上半年,整個區塊鏈生態共發生78起較為著名的安全事件,涉及DeFi安全50起、錢包安全2起,公鏈安全3起,交易所安全6起,其他安全相關17起,其中以太坊上27起,幣安智能鏈(BSC)上22起,Polygon上2起,火幣生態鏈(HECO)、波卡生態、EOS上各1起,總損失金額超17億美元(按事件發生時幣價計算)。
經慢霧AML對涉事資金追蹤分析發現,約60%的資金被攻擊者轉入混幣平臺,約30%的資金被轉入交易所。慢霧安全團隊在此建議,用戶應增強安全意識,提高警惕,選擇經過安全審計的可靠項目參與;項目方應不斷提升自身的安全系數,通過專業安全審計機構的審計后才上線,避免損失;各交易所應加大反洗錢監管力度,進一步打擊利用加密資產交易的洗錢等違規行為。[2021/7/1 0:20:42]
5.在2022-02-144:43:18(UTC),StakePrizePool合約(0x4d7f0a)中,owner再次調用了setPrizeStrategy函數,將_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7;
6.最后攻擊者調用StakePrizePool合約(0x4d7f0a)中的withdrawInstantlyFrom函數將ticket代幣換成Titano代幣,然后在pancake池子中把itano換成BNB,攻擊者重復了這個過程8次,最后共獲利4,828.7BNB,約1900w美元。
據慢霧MistTrack分析,攻擊者最初的獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑資金已被攻擊者轉移到其他23個錢包。此次主要由于owner角色可以任意設置setPrizeStrategy函數,導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。對此,慢霧安全團隊建議,對于敏感的函數操作,建議采用多簽錢包的角色來操作,或者把owner角色權限移交給社區管理。
Tags:PRIIZETRATRATPrivacy CoinKaizen FinanceUltraNote CoinStratis
澳大利亞審慎監管局今日發布加密資產的風險管理預期和政策路線圖指南,目前APRA正在與國際其他監管機構協商為澳大利亞加密資產和相關活動制定長期審慎框架.
1900/1/1 0:00:00FTX和FTX.US宣布推出“FTXAccess”。FTXAccess是專為機構投資者量身打造的工具。除了咨詢服務外,還另外提供了指數產品、分析工具、執行交易等服務.
1900/1/1 0:00:00NFT基礎設施服務商ProjectGalaxy宣布將于2月17日在Coinlist平臺進行代幣公開銷售,目前已開放注冊.
1900/1/1 0:00:00據國際金融報報道,數字經濟與金融創新研究中心聯席主任盤和林刊文《元宇宙炒房難言未來》。文章稱,元宇宙炒房的核心在于虛擬空間自身的價值,但這個價值究竟能在多大范圍內形成共識還值得商榷.
1900/1/1 0:00:00據CoinDesk報道,隨著以太坊逐漸向權益證明(PoS)機制過渡,以太坊的第一個主網影子分叉“shadowfork”周一正式上線.
1900/1/1 0:00:00據官方消息,DeFi衍生品協議ApeX將于北京時間3月8日16時發售ApeXNFT系列。ApeXNFT是ApeX發行的一系列帶有其平臺治理代幣認購權益和未來ApeXloyaltyprogram內.
1900/1/1 0:00:00