STRAT:慢雾:Titano Finance被黑因池子被设置成恶意PrizeStrategy合约造成后续利用_Kaizen Corp

据慢雾区情报,2月14日,BSC链上的TitanoFinance项目遭受攻击,最初获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑资金已被攻击者转移到其他23个钱包。慢雾安全团队分析如下:

1.攻击者创建了相关的攻击合约;

2.攻击者调用第一步中的合约中的函数创建了恶意的prizeStrategy合约;

美国参议员:从政策制定的角度来看,拥有比特币与拥有牛没有什么不同:金色财经报道,美国参议员Cynthia Lummis正准备推出负责任的金融创新法案,这将影响加密货币的征税方式。她表示,从政策制定的角度来看,拥有比特币与拥有牛没有什么不同。作为2020年上任的参议员,Lummis 报告称持有价值 50,000 至 100,000 美元的 BTC,2021 年 8 月,她报告额外购买了价值 50,000 至 100,000 美元的 BTC。她没有从出售资产中获得任何收入。(decrypt)[2022/4/2 13:59:51]

3.StakePrizePool合约中,owner调用了setPrizeStrategy函数(该函数仅owner可以调用),使得_prizeStrategy被改成恶意的prizeStrategy合约。

Gemini联合创始人:年轻人不知道没有互联网或比特币的世界是什么样子:Gemini联合创始人Cameron Winklevoss今早发推称,今天成长起来的一代人,不知道一个没有互联网或比特币的世界是什么样子。加密一代或“C世代”不会接受他们正在继承的集中化世界,而是会致力于建立一个全新的、去中心化的世界。[2020/7/18]

4.接着攻击者调用了所创建的恶意的prizeStrategy合约中的_awardTickets函数,该函数调用了prizePool合约中的award函数,该函数需要满足onlyPrizeStrategy修饰器条件(_msgSender()==address(prizeStrategy)),该函数会给指定的to地址mint指定数量的ticket代币。此时prizePool合约中的_prizeStrategy已经在上一步被修改,满足onlyPrizeStrategy的条件,于是StakePrizePool合约给攻击者mint了32,00万个ticket代币。

投票上币被质疑 何一回复“不是什么都需要区块链+”:微拍创始人胡震生与何一就“数字货币交易所投票上币”话题展开讨论。胡震生认为“投票上币”交易所没有公开投票地址,同时也未公布投票算法,他表示“作为参与方认为平台有修改数据的驱动力和可能性”,认为这“就不是一个优秀的区块链项目”。何一回复称币安的投票项目都会经过审核,且投票数据每次都会清洗;交易所本来就是中心化平台,每个组织有自己的规则,而她一直的观点是“不是什么都需要‘区块链+’”。[2018/2/28]

5.StakePrizePool合约中,owner再次调用了setPrizeStrategy函数,将_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7。

6.最后攻击者调用StakePrizePool合约中的函数将ticket代币换成Titano代币,然后在pancake池子中把Titano换成BNB,攻击者重复了这个过程8次,最后共获利4828.7BNB,约190万美元。

该攻击主要由于owner角色可以任意设置setPrizeStrategy函数,导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:0ms0-3:512ms