据慢雾区情报,2022 年 2 月 14 日,BSC 链上的 TitanoFinance 项目遭受攻击。
1. 在 2022-02-10 18:48:04 (UTC),攻击者创建了相关的攻击合约 (0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a)
2. 在 2022-02-14 4:36:21 (UTC),攻击者调用第一步中的 0x186620 合约中的 createMultipleWinnersFromExistingPrizeStrategy 函数创建了恶意的 prizeStrategy 合约 0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046
3. 在 2022-02-14 4:39:12 (UTC),StakePrizePool 合约 (0x4d7f0a96967dce1e36dd2fbb131625bbd9106442) 中,owner (0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8) 调用了 setPrizeStrategy 函数 ( 该函数仅 owner 可以调用 ),使得 _prizeStrategy 被改成了 0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046
元宇宙概念板块午后持续拉升,中青宝涨停:6月16日消息,行情显示,元宇宙概念板块午后持续拉升,中青宝涨停,佳创视讯、中文在线涨超11%,完美世界、天下秀、新国脉、二六三等此前涨停。[2022/6/16 4:31:44]
4. 在 2022-02-14 4:41:51 (UTC),接着攻击者调用了所创建的恶意的 prizeStrategy 合约 (0x49D078) 中的 _awardTickets 函数,该函数调用了 prizePool 合约中 (0x4d7f0a) 的 award 函数,该函数需要满足 onlyPrizeStrategy 修饰器条件 (_msgSender() == address(prizeStrategy)),该函数会给指定的 to 地址 mint 指定数量的 ticket 代币 (Ticket Titano (TickTitano)
此时 prizePool 合约中的 _prizeStrategy 已经在上一步被修改成 0x49D078,满足 onlyPrizeStrategy 的条件,于是 StakePrizePool 合约给攻击者 mint 了 32,000,000 个 ticket 代币
5. 在 2022-02-14 4:43:18 (UTC),StakePrizePool 合约 (0x4d7f0a) 中,owner 再次调用了 setPrizeStrategy 函数,将 _prizeStrategy 改回 0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7
6. 最后攻击者调用 StakePrizePool 合约 (0x4d7f0a) 中的 withdrawInstantlyFrom 函数将 ticket 代币换成 Titano 代币,然后在 pancake 池子中把 Titano 换成 BNB,攻击者重复了这个过程 8 次, 最后共获利 4,828.7 BNB,约 1900w 美元
据慢雾 MistTrack 分析,攻击者最初的获利地址为 0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑资金已被攻击者转移到其他 23 个钱包。
总结:此次主要由于 owner 角色可以任意设置 setPrizeStrategy 函数,导致了池子被设置成恶意的 PrizeStrategy 合约造成后续利用。慢雾安全团队建议:对于敏感的函数操作,建议采用多签钱包的角色来操作,或者把 owner 角色权限移交给社区管理。
标签:IZEPRITRARATTokenize XchangeAnarchistsPrimePolkatrailRATS价格
在过去的几个月里,我一直痴迷于 NFT 作为数字对象的概念,以及这个想法/框架如何为互联网原生对象的交换方式提供一个全新的范式。 让我们首先考虑一下物理对象的不可能范围。你可以争辩说,从字面上看,任何由原子构成的东西都是 "物体",而试图在这里确定一个具体的定义是无益的。
Web3.0是区块链的整合与升级,在任何的网络通信中,用户都需要一个明确的数字身份,Web3.0也是如此,它也需要一个系统来绑定我们现实与虚拟的身份,这个身份就称为统一身份认证。 目前来说,区块链的身份认证就只有两种,那就是钱包与NFT。
在最近关于 DeFi 的讨论中,我反复听到了一个名字——THORchain,这个沉默数月的项目,最近似乎又有了一些热度。原本只是打算作为一个热点追踪,却在仔细研究后变得有些兴奋,THORchain 即将推出的 THORFi,很可能成为 DeFi 借贷的新模式。
本文来自微信公众号老雅痞(id:laoyapi)。 流动性是证券市场上的一个术语,流动性是指资产在不影响其市场价格的情况下可以转换为现成现金的效率,流动性最强的资产是现金本身。 现在让我们试着从流动性的角度来理解NFTs: NFT是非同质化代币形式的区块链资产,NFTs通常代表产品、艺术品、音乐或任何其他创造者决定放在区块链上的数字身份。
Aave在6个区块链上同时推出了去中心化借贷协议V3,包括Fantom、Optimism、Avalanche和Harmony。 它的最新更新增加了Aave协议的核心概念(aToken、即时流动性、稳定利率借贷、信贷委托等),并在以下领域增加了新功能。
本文来自微信公众号老雅痞(id:laoyapi)。 这个互联网时代被遗忘的技术之一是RSS(Really Simple Syndication),一个帮助定义Web 2.0时代的开放联合协议。从21世纪初开始,RSS使任何人都可以通过博客将他们的想法发布到网上,并使人们可以比较容易地通过RSS阅读器即时订阅这些想法。