TAN:Titano Finance攻击事件分析

前言

北京时间2022年2月14日晚，TitanoFinance遭到攻击，损失3200万TITANO代币。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

分析

基础分析

攻击者地址：0xad9217e427ed9df8a89e582601a8614fd4f74563

《进击的巨人》将基于Flow公链发布NFT平台Attack on Titan: Legacy:3月4日消息，《进击的巨人》区块链服务公司今日宣布，将基于Flow公链发布Attack on Titan: Legacy平台。该交易平台提供《进击的巨人》动画中的精彩画面做为NFT进行销售，其版权由讲谈社（講談社）与Anique USA提供授权。

据悉，Flow是由数字商品先驱NBA Top shot 的Dapper Labs公司开发的区块链，并被MIXI和Mercari等主要公司用于在日本的新业务拓展。（Gamebiz）[2022/3/4 13:38:04]

攻击者创建合约MultipleWinnersProxyFactory：0x940151f5bbbcda5b1b482592d816e96f80d6073a

美国宪法副本拍卖失败后，ConstitutionDAO成员或无法获得全额退款:11月22日消息，美国宪法副本拍卖失败后，ConstitutionDAO成员或无法获得全额退款。根据此前披露的消息显示，ConstitutionDAO为拍卖筹集了超过 4500 万美元，一些成员要求退款，然而，许多刚接触以太坊生态系统的捐赠者没有意识到，该网络的高昂gas费用意味着他们捐赠金额无法被全额退回ConstitutionDAO的Discord社区中已经有人提出不想支付退款的gas费用。此外，ConstitutionDAO还宣布任命两位新的组织领导者，分别是去中心化自治组织核心贡献者 Brian Wagner和Web 3爱好者Liminal Warmth，目前尚不清楚这两位新领导者将如何解决ConstitutionDAO退款问题。[2021/11/22 22:08:15]

攻击者创建合约MultipleWinnersBuilder：0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a

动态 | Enjin 区块链生态系统适用于Titan Flight Studio的游戏设计:据bitcoinexchangeguide消息，Titan Flight Studios游戏公司将把区块链整合到他们的现场街机游戏ReBounce、即将到来的电子竞技冠军和未来的零售游戏化项目中，使Titan Flight使用ERC-1155标准为其游戏生态系统创建Enjin支持的令牌。[2018/12/10]

攻击者创建合约MultipleWinners：0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046

官方合约StakePrizePool：0x4d7f0a96967dce1e36dd2fbb131625bbd9106442

漏洞分析

此次事件，漏洞关键在于官方StakePrizePool合约中的setPrizeStrategy方法被攻击者所利用，但该方法只有管理员才有权限进行操作。

随后攻击者将合约中的_prizeStrategy地址设置为攻击者创造的合约MultipleWinners的地址

获得权限后，攻击者使用MultipleWinners合约中的_awardTickets方法铸造了3200万TicketTitano代币到攻击者地址

攻击者获取代币后，将代币进行转换，最终通过PancakeSwap将其转换为BNB，随后分散资金到各个地址

总结

本次攻击事件核心原因在于官方StakePrizePool合约中的仅管理员调用方法被恶意利用，成因或许是项目方管理地址泄露，也可能是掌握管理员私钥的人监守自盗。

近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：TITITATITATANMY IDENTITY COINAlpha Capital (New)TITANIA价格TAN币

火币交易所热门资讯