WIN:Titano Finance攻击事件分析_MultiPlanetary Inus

前言

北京时间2022年2月14日晚，TitanoFinance遭到攻击，损失3200万TITANO代币。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

分析

基础分析

攻击者地址：0xad9217e427ed9df8a89e582601a8614fd4f74563

Titans Ventures与NFT市场Colexion达成战略合作:1月16日消息，越南区块链风投机构Titans Ventures宣布，与NFT市场Colexion达成战略合作。[2022/1/17 8:53:29]

攻击者创建合约MultipleWinnersProxyFactory：0x940151f5bbbcda5b1b482592d816e96f80d6073a

DFINITY身份系统Internet Identity支持Windows Hello:DFINITY基金会宣布DFINITY身份系统Internet Identity支持生物识别身份验证系统Windows Hello，Windows Hello用户可以使用Internet Identity安全且匿名地对DFINITY互联网计算机上的DApp进行身份验证。

据了解，Windows Hello允许Windows用户使用面部识别、指纹或虹膜扫描来验证自己的身份。据微软报告统计，有10亿人使用Windows 10，其中超过85%的人使用Windows Hello，为基于DFINITY互联网计算机的DApp开辟了一个庞大的新用户群。[2021/8/13 1:52:43]

攻击者创建合约MultipleWinnersBuilder：0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a

Titan Protocol 主网币TIT将于2020年12月1日发起节点公投:据官方消息，Titan Protocol 主网币TIT将于2020年12月1日发起节点公投，根据底层规则节点矿工投票通过超过半数以上将销毁1亿枚矿池TOKEN。

Titan Protocol 是一个商用级的去中心化应用程序平台。Titan Protocol 将采用一种主节点（Masternode）方案来解决目前 Bitcoin、Ethereum 等传统主流公链所面临的处理交易慢、数据庞大、被少数几个矿池控制的问题。[2020/10/28]

攻击者创建合约MultipleWinners：0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046

官方合约StakePrizePool：0x4d7f0a96967dce1e36dd2fbb131625bbd9106442

漏洞分析

此次事件，漏洞关键在于官方StakePrizePool合约中的setPrizeStrategy方法被攻击者所利用，但该方法只有管理员才有权限进行操作。

随后攻击者将合约中的_prizeStrategy地址设置为攻击者创造的合约MultipleWinners的地址

获得权限后，攻击者使用MultipleWinners合约中的_awardTickets方法铸造了3200万TicketTitano代币到攻击者地址

攻击者获取代币后，将代币进行转换，最终通过PancakeSwap将其转换为BNB，随后分散资金到各个地址

总结

本次攻击事件核心原因在于官方StakePrizePool合约中的仅管理员调用方法被恶意利用，成因或许是项目方管理地址泄露，也可能是掌握管理员私钥的人监守自盗。

近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：WINIPLMULTIINNwing币前景怎么样MultiPlanetary InusInnova

欧易okex官网热门资讯