IZE:慢霧：TitanoFinance 被黑簡析_BPRIVA

據慢霧區情報，2022 年 2 月 14 日，BSC 鏈上的 TitanoFinance 項目遭受攻擊。

1. 在 2022-02-10 18:48:04 (UTC)，攻擊者創建了相關的攻擊合約 (0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a)

2. 在 2022-02-14 4:36:21 (UTC)，攻擊者調用第一步中的 0x186620 合約中的 createMultipleWinnersFromExistingPrizeStrategy 函數創建了惡意的 prizeStrategy 合約 0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046

慢霧：已凍結部分BitKeep黑客轉移資金:12月26日消息，慢霧安全團隊在社交媒體上發文表示，正在對 BitKeep 錢包進行深入調查，并已凍結部分黑客轉移資金。[2022/12/26 22:08:58]

3. 在 2022-02-14 4:39:12 (UTC)，StakePrizePool 合約 (0x4d7f0a96967dce1e36dd2fbb131625bbd9106442) 中，owner (0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8) 調用了 setPrizeStrategy 函數 ( 該函數僅 owner 可以調用 )，使得 _prizeStrategy 被改成了 0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046

慢霧：DEUS Finance 二次被黑簡析:據慢霧區情報，DEUS Finance DAO在4月28日遭受閃電貸攻擊，慢霧安全團隊以簡訊的形式將攻擊原理分享如下:

1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。

3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作，兌換出了9547716.9個的DEI，由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。

4.在進行Swap操作后，攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸，由于borrow函數中用isSolvent進行借貸檢查，而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。

5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC，獲利離場。

針對該事件，慢霧安全團隊給出以下防范建議：本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/4/28 2:37:18]

4. 在 2022-02-14 4:41:51 (UTC)，接著攻擊者調用了所創建的惡意的 prizeStrategy 合約 (0x49D078) 中的 _awardTickets 函數，該函數調用了 prizePool 合約中 (0x4d7f0a) 的 award 函數，該函數需要滿足 onlyPrizeStrategy 修飾器條件 (_msgSender() == address(prizeStrategy))，該函數會給指定的 to 地址 mint 指定數量的 ticket 代幣 (Ticket Titano (TickTitano)

慢霧：PancakeBunny被黑是一次典型利用閃電貸操作價格的攻擊:幣安智能鏈上DeFi收益聚合器PancakeBunny項目遭遇閃電貸攻擊，慢霧安全團隊解析：這是一次典型的利用閃電貸操作價格的攻擊，其關鍵點在于WBNB-BUNNYLP的價格計算存在缺陷，而BunnyMinterV2合約鑄造的BUNNY數量依賴于此存在缺陷的LP價格計算方式，最終導致攻擊者利用閃電貸操控了WBNB-BUNNY池子從而拉高了LP的價格，使得BunnyMinterV2合約鑄造了大量的BUNNY代幣給攻擊者。慢霧安全團隊建議，在涉及到此類LP價格計算時可以使用可信的延時喂價預言機進行計算或者參考此前AlphaFinance團隊。[2021/5/20 22:24:55]

此時 prizePool 合約中的 _prizeStrategy 已經在上一步被修改成 0x49D078，滿足 onlyPrizeStrategy 的條件，于是 StakePrizePool 合約給攻擊者 mint 了 32,000,000 個 ticket 代幣

5. 在 2022-02-14 4:43:18 (UTC)，StakePrizePool 合約 (0x4d7f0a) 中，owner 再次調用了 setPrizeStrategy 函數，將 _prizeStrategy 改回 0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7

6. 最后攻擊者調用 StakePrizePool 合約 (0x4d7f0a) 中的 withdrawInstantlyFrom 函數將 ticket 代幣換成 Titano 代幣，然后在 pancake 池子中把 Titano 換成 BNB，攻擊者重復了這個過程 8 次, 最后共獲利 4,828.7 BNB，約 1900w 美元

據慢霧 MistTrack 分析，攻擊者最初的獲利地址為 0xad9217e427ed9df8a89e582601a8614fd4f74563，目前被黑資金已被攻擊者轉移到其他 23 個錢包。

總結：此次主要由于 owner 角色可以任意設置 setPrizeStrategy 函數，導致了池子被設置成惡意的 PrizeStrategy 合約造成后續利用。慢霧安全團隊建議：對于敏感的函數操作，建議采用多簽錢包的角色來操作，或者把 owner 角色權限移交給社區管理。

Tags：PRIIZETRARATBPRIVAIZE FintecheternalcontractTRAT價格

以太坊最新價格