以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

STRAT:慢霧:TitanoFinance 被黑簡析

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,2022 年 2 月 14 日,BSC 鏈上的 TitanoFinance 項目遭受攻擊。

1. 在 2022-02-10 18:48:04 (UTC),攻擊者創建了相關的攻擊合約 (0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a)

2. 在 2022-02-14 4:36:21 (UTC),攻擊者調用第一步中的 0x186620 合約中的 createMultipleWinnersFromExistingPrizeStrategy 函數創建了惡意的 prizeStrategy 合約 0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046

慢霧:Apple Store惡意釣魚程序可模仿正常應用程序,盜取賬號密碼以繞過2FA:7月25日消息,慢霧首席信息安全官23pds發推提醒用戶注意Apple ID出現的最新攻擊案例,其中Apple Store出現惡意釣魚程序,通過模仿正常應用程序盜取用戶賬號和密碼,然后攻擊者把自己的號碼加入雙重認證的信任號碼,控制賬號權限,用來繞過蘋果的2FA。“加密貨幣用戶務必注意,因為目前有不少用戶、錢包的備份方案是iCloud備份,一旦被攻擊,可能造成資產損失”。[2023/7/25 15:56:56]

3. 在 2022-02-14 4:39:12 (UTC),StakePrizePool 合約 (0x4d7f0a96967dce1e36dd2fbb131625bbd9106442) 中,owner (0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8) 調用了 setPrizeStrategy 函數 ( 該函數僅 owner 可以調用 ),使得 _prizeStrategy 被改成了 0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046

慢霧:正協助Poly Network追查攻擊者,黑客已實現439萬美元主流資產變現:7月2日消息,慢霧首席信息安全官23pds在社交媒體發文表示,慢霧團隊正在與Poly Network官方一起努力追查攻擊者,并已找到一些線索。黑客目前已實現價值439萬美元的主流資產變現。[2023/7/2 22:13:24]

4. 在 2022-02-14 4:41:51 (UTC),接著攻擊者調用了所創建的惡意的 prizeStrategy 合約 (0x49D078) 中的 _awardTickets 函數,該函數調用了 prizePool 合約中 (0x4d7f0a) 的 award 函數,該函數需要滿足 onlyPrizeStrategy 修飾器條件 (_msgSender() == address(prizeStrategy)),該函數會給指定的 to 地址 mint 指定數量的 ticket 代幣 (Ticket Titano (TickTitano)

慢霧:2021年上半年共發生78起區塊鏈安全事件,總損失金額超17億美元:據慢霧區塊鏈被黑事件檔案庫統計,2021年上半年,整個區塊鏈生態共發生78起較為著名的安全事件,涉及DeFi安全50起、錢包安全2起,公鏈安全3起,交易所安全6起,其他安全相關17起,其中以太坊上27起,幣安智能鏈(BSC)上22起,Polygon上2起,火幣生態鏈(HECO)、波卡生態、EOS上各1起,總損失金額超17億美元(按事件發生時幣價計算)。

經慢霧AML對涉事資金追蹤分析發現,約60%的資金被攻擊者轉入混幣平臺,約30%的資金被轉入交易所。慢霧安全團隊在此建議,用戶應增強安全意識,提高警惕,選擇經過安全審計的可靠項目參與;項目方應不斷提升自身的安全系數,通過專業安全審計機構的審計后才上線,避免損失;各交易所應加大反洗錢監管力度,進一步打擊利用加密資產交易的洗錢等違規行為。[2021/7/1 0:20:42]

此時 prizePool 合約中的 _prizeStrategy 已經在上一步被修改成 0x49D078,滿足 onlyPrizeStrategy 的條件,于是 StakePrizePool 合約給攻擊者 mint 了 32,000,000 個 ticket 代幣

5. 在 2022-02-14 4:43:18 (UTC),StakePrizePool 合約 (0x4d7f0a) 中,owner 再次調用了 setPrizeStrategy 函數,將 _prizeStrategy 改回 0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7

6. 最后攻擊者調用 StakePrizePool 合約 (0x4d7f0a) 中的 withdrawInstantlyFrom 函數將 ticket 代幣換成 Titano 代幣,然后在 pancake 池子中把 Titano 換成 BNB,攻擊者重復了這個過程 8 次, 最后共獲利 4,828.7 BNB,約 1900w 美元

據慢霧 MistTrack 分析,攻擊者最初的獲利地址為 0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑資金已被攻擊者轉移到其他 23 個錢包。

總結:此次主要由于 owner 角色可以任意設置 setPrizeStrategy 函數,導致了池子被設置成惡意的 PrizeStrategy 合約造成后續利用。慢霧安全團隊建議:對于敏感的函數操作,建議采用多簽錢包的角色來操作,或者把 owner 角色權限移交給社區管理。

Tags:PRIIZETRASTRATLoopring [NEO]DecentralizedUnitedTrade Tech AIstrat幣價格

加密貨幣
SOL:Vitalik Buterin:未來將是多鏈的 對跨鏈應用持悲觀態度

V 神指出,一個主權區域內的交叉 Rollup 應用程序仍然可以,這也不是對“模塊化區塊鏈”愿景的限制:您不能只選擇一個單獨的數據層和安全層,您的數據層必須也是安全層.

1900/1/1 0:00:00
EFI:「DeFi 2.0」真的升級了DeFi?

最近一個月,各主流DeFi協議處于增長的停滯狀態時,「DeFi2.0」一詞突然在加密圈傳開。加上了「2.0」,是真升級還是玩概念?「DeFi2.0」的首次提及大概可以追溯到借貸協議Alchemi.

1900/1/1 0:00:00
區塊鏈:實現Cosmos愿景核心組件IBC到底是什么?

原文標題:《關于 IBC,你所需要了解的知識》歡迎來到 IBC 101。在本文中,我們將一起探討 IBC 是什么,它是如何工作的以及它為什么重要.

1900/1/1 0:00:00
ADAM:區塊鏈·世界志 | ADAMoracle預言機網絡即將上線

ADAMoracle是業內首個采用“廣域節點喂價”機制的去中心化預言機,添加海量多元化服務器作為計算節點和存儲節點,以圖靈智能化取代傳統預言機.

1900/1/1 0:00:00
EFI:元宇宙鏈游風口已至 ELVES GameFi即將橫空出世

在傳統游戲向鏈游過度的過程中,只有解決目前的難點,達到各個階層之間的平衡,才能真正開啟下一個游戲時代。今年,元宇宙的概念不斷出現在大眾的視野,成為人們最關注的領域之一.

1900/1/1 0:00:00
ARB:二層網絡將引領以太坊新敘事:以Arbitrum為例

以太坊的敘事正在悄然發生變化。二層網絡正式粉墨登場、大放異彩,越來越多的應用建立在各自生態上;而以太坊一層則退居二線,負責底層的安全工作.

1900/1/1 0:00:00
ads