02月14日,星期一 05:37
火讯财经讯,据慢雾区情报,2022 年 2 月 14 日,BSC 链上的 TitanoFinance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。 1. 在 2022-02-10 18:48:04 (UTC),攻击者创建了相关的攻击合约 (0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a) 2. 在 2022-02-14 4:36:21 (UTC),攻击者调用第一步中的 0x186620 合约中的 createMultipleWinnersFromExistingPrizeStrategy 函数创建了恶意的 prizeStrategy 合约 0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046 3. 在 2022-02-14 4:39:12 (UTC),StakePrizePool 合约 (0x4d7f0a96967dce1e36dd2fbb131625bbd9106442) 中,owner (0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8) 调用了 setPrizeStrategy 函数 ( 该函数仅 owner 可以调用 ),使得 _prizeStrategy 被改成了 0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046 4. 在 2022-02-14 4:41:51 (UTC),接着攻击者调用了所创建的恶意的 prizeStrategy 合约 (0x49D078) 中的 _awardTickets 函数,该函数调用了 prizePool 合约中 (0x4d7f0a) 的 award 函数,该函数需要满足 onlyPrizeStrategy 修饰器条件 (_msgSender() == address(prizeStrategy)),该函数会给指定的 to 地址 mint 指定数量的 ticket 代币 (Ticket Titano (TickTitano) 此时 prizePool 合约中的 _prizeStrategy 已经在上一步被修改成 0x49D078,满足 onlyPrizeStrategy 的条件,于是 StakePrizePool 合约给攻击者 mint 了 32,000,000 个 ticket 代币 5. 在 2022-02-14 4:43:18 (UTC),StakePrizePool 合约 (0x4d7f0a) 中,owner 再次调用了 setPrizeStrategy 函数,将 _prizeStrategy 改回 0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7 6. 最后攻击者调用 StakePrizePool 合约 (0x4d7f0a) 中的 withdrawInstantlyFrom 函数将 ticket 代币换成 Titano 代币,然后在 pancake 池子中把 Titano 换成 BNB,攻击者重复了这个过程 8 次, 最后共获利 4,828.7 BNB,约 1900w 美元 据慢雾 MistTrack 分析,攻击者最初的获利地址为 0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑资金已被攻击者转移到其他 23 个钱包。 总结:此次主要由于 owner 角色可以任意设置 setPrizeStrategy 函数,导致了池子被设置成恶意的 PrizeStrategy 合约造成后续利用。慢雾安全团队建议:对于敏感的函数操作,建议采用多签钱包的角色来操作,或者把 owner 角色权限移交给社区管理。
0
火讯财经讯,9月21日消息,萨尔瓦多过去7日共增持8枚比特币,目前其比特币持仓达6,326.18枚,总价值达7.32亿美元。
31 分钟前
火讯财经讯,9月21日消息,据链上分析师@ai_9684xtpa监测,持仓ETH四年的地址0x7B4...3eDB5疑似清仓离场,其在2021年4月以2426美元提出了1893枚ETH,3小时前向Kraken充值了1757枚,若卖出将获利361.6万美元。
1 小时前
火讯财经讯,9月21日消息,据链上分析师余烬监测,5010万枚ASTER(8016万美元)在过去一小时里从Aster里提出到10个刚创建的新钱包,每个地址约500万枚。这10个地址是属于同一人/实体的:地址里的Gas都是先通过ChangeNOW提TRX到Tron链,再通过跨链兑换成BNB到接收ASTER的BSC链地址。
1 小时前
火讯财经讯,9月21日消息,据信报报道,新世界发展前行政总裁、周大福创始人郑裕彤长孙郑志刚去年起陆续卸任多家家族企业职务,目前宣布成立上合发展控股(ALMADGroup),该综合性企业集团将聚焦9大新产业,在中国内地、东盟国家、中东国家等地区进行投资。集团重点布局三大方向,一是投资新兴市场的创新产业,包括文化、娱乐、体育、媒体、医疗、商业管理及大文旅产业领域;二是探索数字及虚拟资产新突破,探索数字资产、现实世界资产(RWA)代币化及其他崭新机遇的投资;三是在全球拓展K11byAC文化生态圈。
1 小时前
火讯财经讯,9月21日消息,据官方公告,币安Alpha将于9月23日17:00(东八区时间)上线和开放Bless(BLESS)的交易。此外,币安合约平台将于9月23日17:30(东八区时间)上线BLESSUSDT永续合约,最高杠杆可达50倍。符合条件的用户可于Alpha交易开放后,前往Alpha活动页面使用币安Alpha积分领取空投。具体详情将另行公布。
1 小时前
商务合作:840034348@qq.com
媒体合作:840034348@qq.com
投稿合作:840034348@qq.com
微信公众号
iPhone & Android
