Titano Finance攻擊事件分析_TIT:MULTI

前言

北京時間2022年2月14日晚，TitanoFinance遭到攻擊，損失3200萬TITANO代幣。知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

分析

基礎分析

攻擊者地址：0xad9217e427ed9df8a89e582601a8614fd4f74563

去中心化身份公司Qui Identity完成約500萬美元融資，Round13領投:8月4日消息，去中心化身份公司Qui Identity宣布已完成650萬加拿大元（約500萬美元）融資，數字資產基金Round13領投，OMERS Ventures、Wittington Ventures、以及加拿大和美國Web2和Web3領域的一群匿名天使投資人參投。Round13今年推出一個加密專項基金Round13 Digital Asset Fund，專注于在加密基礎設施和Web3項目上進行投資。（betakit）[2022/8/4 12:02:26]

攻擊者創建合約MultipleWinnersProxyFactory：0x940151f5bbbcda5b1b482592d816e96f80d6073a

Matrixport托管解決方案Cactus Custody支持MetaMask Institutional:金色財經報道，Matrixport宣布其托管解決方案Cactus Custody現在支持ConsenSys的MetaMask Institutional(MMI)，即Metamask集成了機構合規的托管、運營、風險和合規功能的一個版本。在合作伙伴關系下，MMI與Cactus Custody的DeFi連接器功能集成，該功能創建了滿足機構投資者（如加密基金、做市商和交易臺）需求的審計跟蹤。DeFi連接器可生成一個安全、加密的錢包地址，存儲在硬件安全模塊中，并允許投資者記錄和下載MMI上的所有DApp交互和錢包交易。這項服務將從下個月開始提供。[2021/10/7 20:09:59]

攻擊者創建合約MultipleWinnersBuilder：0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a

BKEX Global將于8月18日20:30上線TIT:據BKEX Global公告，BKEX Global將于2020年8月18日20:30（UTC+8）全球首發上線TIT（Titan Protocol），開放交易對：TIT/USDT。

Titan Protocol是一個商用級的去中心化應用程序平臺，將采用一種主節點（Masternode）方案來解決目前 Bitcoin、Ethereum 等傳統主流公鏈所面臨的處理交易慢，數據龐大，被少數幾個礦池控制的問題。[2020/8/17]

攻擊者創建合約MultipleWinners：0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046

官方合約StakePrizePool：0x4d7f0a96967dce1e36dd2fbb131625bbd9106442

漏洞分析

此次事件，漏洞關鍵在于官方StakePrizePool合約中的setPrizeStrategy方法被攻擊者所利用，但該方法只有管理員才有權限進行操作。

隨后攻擊者將合約中的_prizeStrategy地址設置為攻擊者創造的合約MultipleWinners的地址

獲得權限后，攻擊者使用MultipleWinners合約中的_awardTickets方法鑄造了3200萬TicketTitano代幣到攻擊者地址

攻擊者獲取代幣后，將代幣進行轉換，最終通過PancakeSwap將其轉換為BNB，隨后分散資金到各個地址

總結

本次攻擊事件核心原因在于官方StakePrizePool合約中的僅管理員調用方法被惡意利用，成因或許是項目方管理地址泄露，也可能是掌握管理員私鑰的人監守自盜。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：TITITAMULTIULTTITA價格SekuritanceMulti AIBONSAI Vault (NFTX)

幣安app下載