WIN:Titano Finance攻击事件分析_INN

前言

北京时间2022年2月14日晚，TitanoFinance遭到攻击，损失3200万TITANO代币。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

分析

基础分析攻击者地址：0xad9217e427ed9df8a89e582601a8614fd4f74563攻击者创建合约MultipleWinnersProxyFactory：0x940151f5bbbcda5b1b482592d816e96f80d6073a攻击者创建合约MultipleWinnersBuilder：0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a攻击者创建合约MultipleWinners：0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046官方合约StakePrizePool：0x4d7f0a96967dce1e36dd2fbb131625bbd9106442漏洞分析

ConstitutionDAO为美国宪法副本拍卖筹集2500万美元:金色财经报道，ConstitutionDAO的组织者表示，已经为定于周四举行的美国宪法副本拍卖筹集了2500万美元的捐款，超过了原定的2000万美元的目标。此次罕见的美国宪法副本拍卖会由苏富比组织，捐赠目标是根据拍卖行最初提出的估价确定的。此前消息，该项目的成员正与苏富比和加密货币交易所FTX进行谈判，以尝试实现这一目标。ConstitutionDAO的想法是以ETH的形式筹集足够的加密货币以在拍卖中购买美国宪法副本。[2021/11/18 6:57:21]

数字房地产平台Roofstock再度裁员27%:金色财经报道，数字房地产平台Roofstock再度裁员27%，5个月前已裁员20%，旨在调整规模以努力降低烧钱率并确保在市场最终转向之前有足够的资本。

此前消息，2022年3月11日，数字房地产平台Roofstock以19.4亿美元估值完成2.4亿美元E轮融资，软银等参投。2023年2月6日，Roofstock将房屋作为NFT出售，支持稳定币购买。[2023/3/23 13:21:19]

此次事件，漏洞关键在于官方StakePrizePool合约中的setPrizeStrategy方法被攻击者所利用，但该方法只有管理员才有权限进行操作。

Reddit Avatar NFT累计销售额突破900万美元，销售量超3万笔:金色财经报道，据Dune Analytics最新数据显示，Reddit Avatar NFT累计销售额已突破 900 万美元，本文撰写时为9,036,151美元，NFT 销售总量超3万笔（30,156笔）。此外，Reddit Avatar NFT总数量达到 2,956,618个，持有者总量为 2,869,618 个。[2022/10/29 11:55:29]

随后攻击者将合约中的_prizeStrategy地址设置为攻击者创造的合约MultipleWinners的地址

获得权限后，攻击者使用MultipleWinners合约中的_awardTickets方法铸造了3200万TicketTitano代币到攻击者地址

攻击者获取代币后，将代币进行转换，最终通过PancakeSwap将其转换为BNB，随后分散资金到各个地址总结

本次攻击事件核心原因在于官方StakePrizePool合约中的仅管理员调用方法被恶意利用，成因或许是项目方管理地址泄露，也可能是掌握管理员私钥的人监守自盗。近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：WINIPLMULTIINNWINGSUniPlayMultichainINNIT

比特币价格实时行情热门资讯