以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

EGY:慢霧:Titano Finance被黑因池子被設置成惡意PrizeStrategy合約造成后續利用

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,2月14日,BSC鏈上的TitanoFinance項目遭受攻擊,最初獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑資金已被攻擊者轉移到其他23個錢包。慢霧安全團隊分析如下:

1.攻擊者創建了相關的攻擊合約;

2.攻擊者調用第一步中的合約中的函數創建了惡意的prizeStrategy合約;

慢霧:過去一周加密領域因安全事件累計損失3060萬美元:7月24日消息,據慢霧統計,上周加密領域因遭遇攻擊累計損失3060萬美元,攻擊者利用了不同的攻擊向量。這些事件包括Alphapo熱錢包被盜(損失2300萬美元)、Conic Finance遭閃電貸攻擊(損失30萬美元)以及重入攻擊(損失320萬美元)、GMETA發生RugPull(損失360萬美元)、BNO遭閃電貸攻擊(損失50萬美元)等。[2023/7/24 15:55:56]

3.StakePrizePool合約中,owner調用了setPrizeStrategy函數(該函數僅owner可以調用),使得_prizeStrategy被改成惡意的prizeStrategy合約。

慢霧:昨日MEV機器人攻擊者惡意構造無效區塊,建議中繼運營者及時升級:金色財經報道,慢霧分析顯示,昨日MEV機器人被攻擊的問題原因在于即使信標區塊不正確,中繼仍將有效載荷(payload)返回給提議者,導致了提議者在另一個區塊被最終確定之前就能訪問區塊內容。攻擊者利用此問題,惡意構造了無效的區塊,使得該區塊無法被驗證,中繼無法進行廣播(狀態碼為202)從而提前獲得交易內容。mev-boost-relay昨日已緊急發布新版本緩解此問題,建議中繼運營者及時升級中繼。

據此前報道,昨日夾擊MEV機器人的惡意驗證者已被Slash懲罰并踢出驗證者隊列。[2023/4/4 13:43:37]

4.接著攻擊者調用了所創建的惡意的prizeStrategy合約中的_awardTickets函數,該函數調用了prizePool合約中的award函數,該函數需要滿足onlyPrizeStrategy修飾器條件(_msgSender()==address(prizeStrategy)),該函數會給指定的to地址mint指定數量的ticket代幣。此時prizePool合約中的_prizeStrategy已經在上一步被修改,滿足onlyPrizeStrategy的條件,于是StakePrizePool合約給攻擊者mint了32,00萬個ticket代幣。

慢霧:Quixotic黑客盜取約22萬枚OP,跨鏈至BNB Chain后轉入Tornado Cash:7月1日消息,據慢霧分析,Quixotic黑客盜取了大約22萬枚OP(約11.9萬美元),然后將其兌換成USDC并跨鏈到BNB Chain,之后將其兌換成BNB并轉入Tornado Cash。[2022/7/1 1:44:55]

5.StakePrizePool合約中,owner再次調用了setPrizeStrategy函數,將_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7。

6.最后攻擊者調用StakePrizePool合約中的函數將ticket代幣換成Titano代幣,然后在pancake池子中把Titano換成BNB,攻擊者重復了這個過程8次,最后共獲利4828.7BNB,約190萬美元。

該攻擊主要由于owner角色可以任意設置setPrizeStrategy函數,導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。

Tags:PRIIZEEGYSTREchelon PrimeStabilize BSCEGYPTRSTR價格

比特幣價格
DEA:加拿大總理撤銷緊急法案,相關銀行賬戶已開始解凍

據Cointelegraph援引CBC新聞報道,2月24日,加拿大總理JustinTrudeau宣布,他將廢除用于凍結與加拿大“自由車隊”抗議者有關的210個銀行賬戶的800萬美元的緊急法案.

1900/1/1 0:00:00
數字藝術:復盤“杰倫熊”火了,NFT再度“活了”?

▼1月1日鑄造的PhantaBear在一周內席卷了NFT世界一時間,周杰倫潮牌PHANTACixEzek聯名出品的NFT藝術品PhantaBear,成了全球熱門話題.

1900/1/1 0:00:00
WEB3:理解Web 3和三個重要的趨勢

“一樣東西不按照你的計劃行事,并不意味著它就毫無用處。” ——托馬斯·愛迪生 互聯網再次發生變化。 在過去的十年中,基于互聯網的服務趨向于集中化.

1900/1/1 0:00:00
LAND:元宇宙投資公司Everyrealm完成6000萬美元A輪融資,a16z領投

據Decrypt2月11日消息,元宇宙投資公司RepublicRealm宣布更名為Everyrealm,并完成6000萬美元A輪融資,a16z領投.

1900/1/1 0:00:00
元宇宙:元宇宙的首塊合規拼圖:《互聯網信息服務深度合成管理規定(征求意見稿)》發布

一、背景 從基于深度合成技術的Deepfake出現開始,深度合成技術一直就飽受爭議。從ZAO的換臉引起公眾警覺,到“假靳東”的詐騙案件,不斷降低的深度合成技術使用門檻讓傳統上“有圖有真相”發展到.

1900/1/1 0:00:00
MIN:干貨 | 詳細分析NFT購買過程以及科學家如何搶購NFT的

來源&作者:iamcatcher本文基于自己近期的學習以及和群友討論總結,作為一個記錄,最后是自己對NFT行業現狀一點思考,剛接觸區塊鏈和以太坊編程難免有錯誤,歡迎大家指正和交流.

1900/1/1 0:00:00
ads