STR:慢霧發布TitanoFinance被黑簡析，owner角色可任意設置setPrizeStrategy函數_PRI

安全機構慢霧科技發布TitanoFinance被黑簡析，2022年2月14日，BSC鏈上的TitanoFinance項目遭受攻擊，慢霧安全團隊分析認為：

1.在2022-02-1018:48:04(UTC)，攻擊者創建了相關的攻擊合約(0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a)；

2.在2022-02-144:36:21(UTC)，攻擊者調用第一步中的0x186620合約中的createMultipleWinnersFromExistingPrizeStrategy函數創建了惡意的prizeStrategy合約0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046；

慢霧安全預警：Solana出現惡意合約授權釣魚事件 可轉走用戶全部原生資產:3月5日消息，Solana上出現多起授權釣魚事件。攻擊者批量給用戶空投 NFT (圖 1) ，用戶通過空投 NFT 描述內容里的鏈接 (www_officialsolanarares_net) 進入目標網站，連接錢包(圖 2)，點擊頁面上的“Mint”，出現批準提示框(圖 3)。注意，此時的批準提示框并沒有什么特別提示，當批準后，該錢包里的所有 SOL 都會被轉走。當點擊“批準”時，用戶會和攻擊者部署的惡意合約交互：3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

該惡意合約的功能最終就是發起“SOL Transfer”，將用戶的 SOL 幾乎全部轉走。從鏈上信息來看，該釣魚行為已經持續了幾天，中招者在不斷增加。

提醒：1. 惡意合約在用戶批準(Approve)后，可以轉走用戶的原生資產(這里是 SOL)，這點在以太坊上是不可能的，以太坊的授權釣魚釣不走以太坊的原生資產(ETH)，但可以釣走其上的 Token。于是這里就存在“常識違背”現象，導致用戶容易掉以輕心。

2. Solana 最知名的錢包 Phantom 在“所見即所簽”安全機制上存在缺陷(其他錢包沒測試)，沒有給用戶完備的風險提醒。這非常容易造成安全盲區，導致用戶丟幣。（慢霧區）[2022/3/5 13:39:42]

3.在2022-02-144:39:12(UTC)，StakePrizePool合約(0x4d7f0a96967dce1e36dd2fbb131625bbd9106442)中，owner(0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8)調用了setPrizeStrategy函數(該函數僅owner可以調用)，使得_prizeStrategy被改成了0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046；

動態 | 慢霧：9 月共發生 12 起較典型的安全事件，供應鏈攻擊趨勢愈發明顯:過去的 9 月區塊鏈生態共發生 12 起較典型的安全事件，包括：EOSPlay 遭受新型隨機數攻擊、資金盤項目 FairWin 智能合約權限管理缺陷、EOS 黑名單賬號 craigspys211 利用新晉 BP 黑名單缺陷轉移走 19.999 萬枚 EOS 等典型安全事件。此外，慢霧區塊鏈威脅情報(BTI)系統監測發現，針對區塊鏈生態的供應鏈攻擊越來越多，形如：去年 11 月慢霧披露的污染 NPM 模塊 EventStream、今年 7 月披露的對數字貨幣錢包 Agama 構建鏈的攻擊、今年 8 月披露的針對數字貨幣行情/導航站的 URL 劫持攻擊，還有 9 月慢霧披露的針對交易所使用的第三方統計、客服 js 的惡意代碼植入，進行實施盜幣攻擊。[2019/10/1]

4.在2022-02-144:41:51(UTC)，接著攻擊者調用了所創建的惡意的prizeStrategy合約(0x49D078)中的_awardTickets函數，該函數調用了prizePool合約中(0x4d7f0a)的award函數，該函數需要滿足onlyPrizeStrategy修飾器條件(_msgSender()==address(prizeStrategy))，該函數會給指定的to地址mint指定數量的ticket代幣(TicketTitano(TickTitano)；此時prizePool合約中的_prizeStrategy已經在上一步被修改成0x49D078，滿足onlyPrizeStrategy的條件，于是StakePrizePool合約給攻擊者mint了32,000,000個ticket代幣；

慢霧安全團隊發布 BEC智能合約無限轉幣漏洞分析及預警:據了解，4月22日13時左右，BEC出現異常交易。慢霧安全團隊第一時間分析發現，BEC智能合約(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的batchTransfer批量轉賬函數存在漏洞，攻擊者可傳入很大的value數值，使cnt*value后超過unit256的最大值使其溢出導致amount變為0。

通過此次分析，慢霧安全團隊建議智能合約開發者在批量轉賬時嚴格校驗轉出總額amount是否大于0，及在for循環內執行balances[msg.sender].sub(value)操作。

這類漏洞屬于不可逆的破壞型漏洞，慢霧安全團隊建議其他智能合約發布方及時自查。[2018/4/23]

5.在2022-02-144:43:18(UTC)，StakePrizePool合約(0x4d7f0a)中，owner再次調用了setPrizeStrategy函數，將_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7；

6.最后攻擊者調用StakePrizePool合約(0x4d7f0a)中的withdrawInstantlyFrom函數將ticket代幣換成Titano代幣，然后在pancake池子中把itano換成BNB，攻擊者重復了這個過程8次,最后共獲利4,828.7BNB，約1900w美元。

據慢霧MistTrack分析，攻擊者最初的獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563，目前被黑資金已被攻擊者轉移到其他23個錢包。此次主要由于owner角色可以任意設置setPrizeStrategy函數，導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。對此，慢霧安全團隊建議，對于敏感的函數操作，建議采用多簽錢包的角色來操作，或者把owner角色權限移交給社區管理。

Tags：IZEPRITRASTRGizerepikprime幣行情STRAYINUStreamix

AVAX