TIT:Titano Finance攻擊事件分析

前言

北京時間2022年2月14日晚，TitanoFinance遭到攻擊，損失3200萬TITANO代幣。知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

分析

基礎分析

攻擊者地址：0xad9217e427ed9df8a89e582601a8614fd4f74563

美SEC指控金融科技公司Titan Global Management存在與加密貨幣相關違規行為:8月22日消息，美國證券交易委員會（SEC）指控總部位于紐約的金融科技投資顧問公司Titan Global Management違反了證券法規，其中包括與加密貨幣托管有關的違規行為。SEC聲稱，Titan在廣告中使用了誤導性的指標，包括聲稱Titan Crypto策略的年化指標高達2700%。Titan未能適當地披露公司對加密資產的托管方式，同時還未采取關于員工個人交易加密資產的政策和程序。Titan同意接受停止令，并支付85萬美元的民事罰款。[2023/8/22 18:15:01]

攻擊者創建合約MultipleWinnersProxyFactory：0x940151f5bbbcda5b1b482592d816e96f80d6073a

DFINITY宣布互聯網計算機已實現Titanium里程碑:3月15日，DFINITY官方發推稱，Titanium里程碑已于2月25日達成。Titanium標志著互聯網計算機（Internet Computer）DeFi新時代的基本構件的發布，例如零Gas費AMM、原子互換、完全基于鏈上的DeFi系統。接下來將是Chromium里程碑（又名Satoshi版本），以BTC和ICP直接集成為特色，預計2022年5月實現。

據此前報道，今年1月，DFINITY基金會發布互聯網計算機（Internet Computer）新路線圖，以確保互聯網計算機是構建無限可擴展Web3 DApp的強大通用區塊鏈。2022年Q1中期：Titanium；2022年Q1末：Chromium；2022年Q2：Carbon；2022年Q3：Vanadium；2022年Q4：Iridium；2023年：Futurium。[2022/3/15 13:56:58]

攻擊者創建合約MultipleWinnersBuilder：0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a

動態 | 區塊鏈公司Identitii發起IPO募資1100萬美元:據CCN消息，澳大利亞區塊鏈公司Identitii Limited近日在澳大利亞證券交易所（ASX）上線了價值1100萬美元的IPO，以每股75美分的價格出售1460萬股，所得款項將用來支付Identitii的反洗錢解決方案Serra的開發和營銷費用。[2018/8/15]

攻擊者創建合約MultipleWinners：0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046

官方合約StakePrizePool：0x4d7f0a96967dce1e36dd2fbb131625bbd9106442

漏洞分析

此次事件，漏洞關鍵在于官方StakePrizePool合約中的setPrizeStrategy方法被攻擊者所利用，但該方法只有管理員才有權限進行操作。

隨后攻擊者將合約中的_prizeStrategy地址設置為攻擊者創造的合約MultipleWinners的地址

獲得權限后，攻擊者使用MultipleWinners合約中的_awardTickets方法鑄造了3200萬TicketTitano代幣到攻擊者地址

攻擊者獲取代幣后，將代幣進行轉換，最終通過PancakeSwap將其轉換為BNB，隨后分散資金到各個地址

總結

本次攻擊事件核心原因在于官方StakePrizePool合約中的僅管理員調用方法被惡意利用，成因或許是項目方管理地址泄露，也可能是掌握管理員私鑰的人監守自盜。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：TITITATITANTANTITIBinance Multi-Chain Capitaltitan幣在哪個交易所ethicalstandards

幣安app官網下載