PRI:Titano Finance攻擊事件分析_NewSolution 2.0

前言

北京時間2022年2月14日晚，TitanoFinance遭到攻擊，損失3200萬TITANO代幣。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

分析

基礎分析攻擊者地址：0xad9217e427ed9df8a89e582601a8614fd4f74563攻擊者創建合約MultipleWinnersProxyFactory：0x940151f5bbbcda5b1b482592d816e96f80d6073a攻擊者創建合約MultipleWinnersBuilder：0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a攻擊者創建合約MultipleWinners：0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046官方合約StakePrizePool：0x4d7f0a96967dce1e36dd2fbb131625bbd9106442漏洞分析

Maker Constitution草案擬將價值約1400萬美元代幣分配給科學可持續發展基金:2月4日消息，MakerDAO社區提出的Maker Constitution草案擬將2萬枚MKR（約1400萬美元）分配給科學可持續發展基金，以應對全球氣候變暖問題。科學可持續基金是一項臨時措施，將于2040年逐步結束。

草案稱，科學可持續發展基金將資金用于宣傳、教育和打擊關于能源解決方案的錯誤信息，禁止直接資助煤炭能源，通過現實世界資產抵押范圍框架強制執行。[2023/2/4 11:47:14]

數字身份公司Prove Identity和Experian合作進行身份驗證:金色財經報道，信息服務公司Experian和數字身份公司Prove Identity, Inc.(\"Prove\")今天宣布建立全球伙伴關系，通過先進的身份驗證技術促進全球金融包容性。作為合作關系的一部分，Prove將把以下解決方案（可能因地區而異）整合到Experian CrossCore中，這是一個數字身份和欺詐風險緩解平臺，使客戶能夠連接、訪問和協調利用多種數據源、驗證和認證能力以及高級分析的客戶決策和行動。這種合作關系將使Experian CrossCore的客戶能夠使用這些解決方案，這些解決方案可以與Experian的區域欺詐和身份識別產品整合。（businesswire）[2022/10/27 11:46:52]

此次事件，漏洞關鍵在于官方StakePrizePool合約中的setPrizeStrategy方法被攻擊者所利用，但該方法只有管理員才有權限進行操作。

ConstitutionDAO宣布將停止運營并開放捐贈退款:11月24日消息，為競拍美國憲法副本而成立的DAO組織ConstitutionDAO宣布將停止運營，其 Discord 社區在開放14條后計劃轉為只讀模式，并將其 Juicebox 資金門戶開放，僅供貢獻者申請退款。ConstitutionDAO表示，鑒于正確執行此操作的技術和管理要求，我們作為核心團隊無法支持構建和維護正在進行的項目。我們相信這個項目已經走到了盡頭，申請這些退款沒有時間限制。[2021/11/24 22:13:01]

隨后攻擊者將合約中的_prizeStrategy地址設置為攻擊者創造的合約MultipleWinners的地址

獲得權限后，攻擊者使用MultipleWinners合約中的_awardTickets方法鑄造了3200萬TicketTitano代幣到攻擊者地址

攻擊者獲取代幣后，將代幣進行轉換，最終通過PancakeSwap將其轉換為BNB，隨后分散資金到各個地址總結

本次攻擊事件核心原因在于官方StakePrizePool合約中的僅管理員調用方法被惡意利用，成因或許是項目方管理地址泄露，也可能是掌握管理員私鑰的人監守自盜。近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：TITPRIUTIPERItitan幣還能起來嗎PRIMAL幣NewSolution 2.0eXPerience Chain

中幣