IZE:慢雾发布TitanoFinance被黑简析，owner角色可任意设置setPrizeStrategy函数

安全机构慢雾科技发布TitanoFinance被黑简析，2022年2月14日，BSC链上的TitanoFinance项目遭受攻击，慢雾安全团队分析认为：

1.在2022-02-1018:48:04(UTC)，攻击者创建了相关的攻击合约(0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a)；

2.在2022-02-144:36:21(UTC)，攻击者调用第一步中的0x186620合约中的createMultipleWinnersFromExistingPrizeStrategy函数创建了恶意的prizeStrategy合约0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046；

慢雾安全提醒：近期有黑客团伙进行钓鱼攻击 目前已经有部分交易平台遭受攻击:据慢雾区伙伴无极实验室消息，近期有黑客团伙利用 Windows10 的 IE11/Edge Legacy 和 MS Teams 结合 ms-officecmd 的远程代码漏洞进行钓鱼攻击，攻击者通过构造恶意的 exploit 的链接发送给交易平台的内部人员，并诱导内部人员点击恶意的链接，从而控制内部人员的电脑，来实施对交易平台的盗币攻击。目前已经有部分交易平台遭受攻击，请自查是否有访问过如下的链接或 IP 地址。

攻击者相关信息：

链接: https://giantblock[.]org，https://financialtimes365[.]com

C&C: plusinfo24[.]com

IP 地址: 162.213.253.56[2022/2/11 9:45:23]

3.在2022-02-144:39:12(UTC)，StakePrizePool合约(0x4d7f0a96967dce1e36dd2fbb131625bbd9106442)中，owner(0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8)调用了setPrizeStrategy函数(该函数仅owner可以调用)，使得_prizeStrategy被改成了0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046；

慢雾：BXH于BSC链被盗的ETH、BTC类资产已全部跨链转至相应链:11月3日消息，10月30日攻击BXH的黑客（BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79）在洗币过程中，多次使用了 AnySwap、PancakeSwap、Ellipsis 等兑换平台，其中部分 ETH 代币被兑换成 BTC。此外，黑客现已将 13304.6 ETH、642.88 BTCB 代币从 BSC 链转移到 ETH、BTC 链，目前，初始黑客获利地址仍有 15546 BNB 和价值超 3376 万美元的代币。慢雾 AML 将持续监控被盗资金的转移，拉黑攻击者控制的所有钱包地址，提醒交易所、钱包注意加强地址监控，避免相关恶意资金流入平台。[2021/11/3 6:28:49]

4.在2022-02-144:41:51(UTC)，接着攻击者调用了所创建的恶意的prizeStrategy合约(0x49D078)中的_awardTickets函数，该函数调用了prizePool合约中(0x4d7f0a)的award函数，该函数需要满足onlyPrizeStrategy修饰器条件(_msgSender()==address(prizeStrategy))，该函数会给指定的to地址mint指定数量的ticket代币(TicketTitano(TickTitano)；此时prizePool合约中的_prizeStrategy已经在上一步被修改成0x49D078，满足onlyPrizeStrategy的条件，于是StakePrizePool合约给攻击者mint了32,000,000个ticket代币；

动态 | 慢雾：9 月共发生 12 起较典型的安全事件，供应链攻击趋势愈发明显:过去的 9 月区块链生态共发生 12 起较典型的安全事件，包括：EOSPlay 遭受新型随机数攻击、资金盘项目 FairWin 智能合约权限管理缺陷、EOS 黑名单账号 craigspys211 利用新晋 BP 黑名单缺陷转移走 19.999 万枚 EOS 等典型安全事件。此外，慢雾区块链威胁情报(BTI)系统监测发现，针对区块链生态的供应链攻击越来越多，形如：去年 11 月慢雾披露的污染 NPM 模块 EventStream、今年 7 月披露的对数字货币钱包 Agama 构建链的攻击、今年 8 月披露的针对数字货币行情/导航站的 URL 劫持攻击，还有 9 月慢雾披露的针对交易所使用的第三方统计、客服 js 的恶意代码植入，进行实施盗币攻击。[2019/10/1]

5.在2022-02-144:43:18(UTC)，StakePrizePool合约(0x4d7f0a)中，owner再次调用了setPrizeStrategy函数，将_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7；

6.最后攻击者调用StakePrizePool合约(0x4d7f0a)中的withdrawInstantlyFrom函数将ticket代币换成Titano代币，然后在pancake池子中把itano换成BNB，攻击者重复了这个过程8次,最后共获利4,828.7BNB，约1900w美元。

据慢雾MistTrack分析，攻击者最初的获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563，目前被黑资金已被攻击者转移到其他23个钱包。此次主要由于owner角色可以任意设置setPrizeStrategy函数，导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。对此，慢雾安全团队建议，对于敏感的函数操作，建议采用多签钱包的角色来操作，或者把owner角色权限移交给社区管理。

标签：IZEPRITRASTRStabilize BSCBPRIVA价格Translatixastr币日本会议最新消息

MANA热门资讯