02月14日,星期一 05:37
火讯财经讯,据慢雾区情报,2022 年 2 月 14 日,BSC 链上的 TitanoFinance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。 1. 在 2022-02-10 18:48:04 (UTC),攻击者创建了相关的攻击合约 (0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a) 2. 在 2022-02-14 4:36:21 (UTC),攻击者调用第一步中的 0x186620 合约中的 createMultipleWinnersFromExistingPrizeStrategy 函数创建了恶意的 prizeStrategy 合约 0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046 3. 在 2022-02-14 4:39:12 (UTC),StakePrizePool 合约 (0x4d7f0a96967dce1e36dd2fbb131625bbd9106442) 中,owner (0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8) 调用了 setPrizeStrategy 函数 ( 该函数仅 owner 可以调用 ),使得 _prizeStrategy 被改成了 0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046 4. 在 2022-02-14 4:41:51 (UTC),接着攻击者调用了所创建的恶意的 prizeStrategy 合约 (0x49D078) 中的 _awardTickets 函数,该函数调用了 prizePool 合约中 (0x4d7f0a) 的 award 函数,该函数需要满足 onlyPrizeStrategy 修饰器条件 (_msgSender() == address(prizeStrategy)),该函数会给指定的 to 地址 mint 指定数量的 ticket 代币 (Ticket Titano (TickTitano) 此时 prizePool 合约中的 _prizeStrategy 已经在上一步被修改成 0x49D078,满足 onlyPrizeStrategy 的条件,于是 StakePrizePool 合约给攻击者 mint 了 32,000,000 个 ticket 代币 5. 在 2022-02-14 4:43:18 (UTC),StakePrizePool 合约 (0x4d7f0a) 中,owner 再次调用了 setPrizeStrategy 函数,将 _prizeStrategy 改回 0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7 6. 最后攻击者调用 StakePrizePool 合约 (0x4d7f0a) 中的 withdrawInstantlyFrom 函数将 ticket 代币换成 Titano 代币,然后在 pancake 池子中把 Titano 换成 BNB,攻击者重复了这个过程 8 次, 最后共获利 4,828.7 BNB,约 1900w 美元 据慢雾 MistTrack 分析,攻击者最初的获利地址为 0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑资金已被攻击者转移到其他 23 个钱包。 总结:此次主要由于 owner 角色可以任意设置 setPrizeStrategy 函数,导致了池子被设置成恶意的 PrizeStrategy 合约造成后续利用。慢雾安全团队建议:对于敏感的函数操作,建议采用多签钱包的角色来操作,或者把 owner 角色权限移交给社区管理。
0
火讯财经讯,7月31日消息,据TheInformation报道,OpenAI今年前七个月营收实现翻倍,年化营收已达120亿美元,月均收入约为10亿美元,而年初时仅为5亿美元。与此同时,OpenAI旗下ChatGPT的每周活跃用户数量已达到约7亿,展现出强劲的增长势头。
19 分钟前
火讯财经讯,7月31日消息,据欧易OKX行情显示,日内涨幅排名靠前的几个代币为:CFX现报0.224美元,日内涨幅16.22%;RPL现报7.96美元,日内涨幅11.11%;RENDER现报3.937美元,日内涨幅2.93%;NOT现报0.00199美元,日内涨幅2.73%;BCH现报584.6美元,日内涨幅2.69%。此外,日内跌幅排名靠前的几个代币为:XRP现报3.128美元,日内跌幅0.50%;LEO现报8.939美元,日内跌幅0.49%;ATOM现报4.438美元,日内跌幅0.14%;APE现报0.600美元,日内跌幅0.13%;XLM现报0.413美元,日内跌幅0.13%。
19 分钟前
火讯财经讯,7月31日消息,据Decrypt报道,美国田纳西州已故传奇乡村歌手乔治·琼斯(GeorgeJones)的遗孀南希·琼斯(NancyJones)指控一名男子不仅盗取了价值1700万美元的XRP,还窃取了她持有的以太坊(ETH)和柴犬币(SHIB)等加密资产。该男子名为KirkWest,曾与南希有过恋爱关系,目前已被警方逮捕。南希称,West利用她的信任,长期以“加密专家”身份管理其加密资产,并最终在被发现后带走了大量现金和Ledger硬件钱包。部分失窃资产已被追回,但仍有价值约150万美元的加密货币下落不明。案件目前仍在进一步审理中,南希已向法院申请返还资产并要求赔偿。
49 分钟前
火讯财经讯,7月31日消息,据WhaleAlert报道,USDCTreasury刚刚在以太坊链上销毁了60,000,000枚USDC,价值约59,988,360美元。
49 分钟前
火讯财经讯,7月31日消息,专注以太坊质押收益的上市公司TheEtherMachine(纳斯达克股票代码:DYNX)宣布,作为其长期积累策略的一部分,购买了近15,000枚ETH。这使得其累计已购买及承诺的ETH总量达到334,757枚,尚有高达4.07亿美元资金可用于进一步购入ETH。
49 分钟前
商务合作:840034348@qq.com
媒体合作:840034348@qq.com
投稿合作:840034348@qq.com
微信公众号
iPhone & Android
