比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > USDT > Info

IZE:慢霧發布TitanoFinance被黑簡析,owner角色可任意設置setPrizeStrategy函數_TRA

Author:

Time:1900/1/1 0:00:00

安全機構慢霧科技發布TitanoFinance被黑簡析,2022年2月14日,BSC鏈上的TitanoFinance項目遭受攻擊,慢霧安全團隊分析認為:

1.在2022-02-1018:48:04(UTC),攻擊者創建了相關的攻擊合約(0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a);

2.在2022-02-144:36:21(UTC),攻擊者調用第一步中的0x186620合約中的createMultipleWinnersFromExistingPrizeStrategy函數創建了惡意的prizeStrategy合約0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046;

慢霧:共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息,慢霧首席信息安全官23pds發推表示,針對共享Apple ID導致資產被盜現象,核心問題是應用沒有和設備碼綁定,目前99%的錢包、交易App等都都存在此類問題,沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行,攻擊者在配合其他手法如社工、爆破等獲取的密碼,導致資產被盜。23pds提醒用戶不要使用共享Apple ID等,同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

3.在2022-02-144:39:12(UTC),StakePrizePool合約(0x4d7f0a96967dce1e36dd2fbb131625bbd9106442)中,owner(0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8)調用了setPrizeStrategy函數(該函數僅owner可以調用),使得_prizeStrategy被改成了0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046;

慢霧:警惕 Honeyswap 前端被篡改導致 approvals 到惡意地址風險:據慢霧區消息,Honeyswap官方推特發文,Honeyswap 前端錯誤導致交易到惡意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ,目前官網仍未刪除該惡意地址,請立即停止使用Honeyswap進行交易,到revoke.cash排查是否有approvals 交易到惡意地址,避免不必要的損失。[2022/5/10 3:03:22]

4.在2022-02-144:41:51(UTC),接著攻擊者調用了所創建的惡意的prizeStrategy合約(0x49D078)中的_awardTickets函數,該函數調用了prizePool合約中(0x4d7f0a)的award函數,該函數需要滿足onlyPrizeStrategy修飾器條件(_msgSender()==address(prizeStrategy)),該函數會給指定的to地址mint指定數量的ticket代幣(TicketTitano(TickTitano);此時prizePool合約中的_prizeStrategy已經在上一步被修改成0x49D078,滿足onlyPrizeStrategy的條件,于是StakePrizePool合約給攻擊者mint了32,000,000個ticket代幣;

動態 | 慢霧發布針對 EOS 交易 hard_fail 狀態的新型攻擊說明:據 IMEOS 報道,慢霧發文解析了 hard_fail 狀態攻擊,根據其的情報捕獲與分析,慢霧意識到針對 EOS hard_faild 狀態的新型攻擊手法可能會造成更大范圍的影響,本次手法成因為項目方未對交易狀態進行嚴格且完備的檢驗導致攻擊發生,屬于“假充值”攻擊類型的一種。在此,慢霧安全團隊建議交易所和錢包要對發送給自己的轉賬交易在不可逆的區塊前提下檢測以下幾點:1. 判斷 status 是否為 executed2. 判斷 action 是否為 transfer3. 判斷合約賬號是否為 eosio.token 或其它 token 的官方合約4. 判斷代幣名稱及精度5. 判斷金額6. 判斷 to 是否是自己平臺的充幣賬號補充說明:本次攻擊可繞過節點 read-only 模式,開啟 read-only 模式仍然會受到攻擊。因為交易的狀態為:未執行->已經執行但執行失敗,并不是回滾所以即使開啟了 read-only 模式,依然會受到攻擊。[2019/3/12]

5.在2022-02-144:43:18(UTC),StakePrizePool合約(0x4d7f0a)中,owner再次調用了setPrizeStrategy函數,將_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7;

6.最后攻擊者調用StakePrizePool合約(0x4d7f0a)中的withdrawInstantlyFrom函數將ticket代幣換成Titano代幣,然后在pancake池子中把itano換成BNB,攻擊者重復了這個過程8次,最后共獲利4,828.7BNB,約1900w美元。

據慢霧MistTrack分析,攻擊者最初的獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑資金已被攻擊者轉移到其他23個錢包。此次主要由于owner角色可以任意設置setPrizeStrategy函數,導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。對此,慢霧安全團隊建議,對于敏感的函數操作,建議采用多簽錢包的角色來操作,或者把owner角色權限移交給社區管理。

Tags:IZEPRITRASTRDecentralizedUnitedPrivatixFox TradingASTR價格

USDT
EFI:固定利率借貸協議Swivel Finance推出其治理代幣SWIV_SWIV

據官網消息,固定利率借貸協議SwivelFinance宣布推出其治理代幣SWIV,其中4%將通過追溯空投發放給社區貢獻者、Compound等協議的鏈上治理參與者等.

1900/1/1 0:00:00
OXY:最高檢四廳廳長鄭新儉:打著元宇宙等新概念的非法集資開始冒頭_Gofiswap

最高人民檢察院第四檢察廳廳長鄭新儉最近表示,金融領域違法犯罪形勢依然復雜嚴峻,網絡借貸、私募基金、以房養老等領域的犯罪案件仍高發多發,打著元宇宙、NFT等新概念實施非法集資開始冒頭.

1900/1/1 0:00:00
P2E:P2E游戲Nifty League完成500萬美元種子輪融資_Metal Friends

據官方消息,P2E游戲NiftyLeague宣布完成500萬美元種子輪融資,RSEVentures領投.

1900/1/1 0:00:00
馬斯克:馬斯克因未及時披露持有股份信息而被Twitter股東起訴_secret幣幣交易

埃隆·馬斯克被Twitter的一位股東起訴,原因是他沒有披露他購買了該公司的大量股票,這對公司的股價有影響.

1900/1/1 0:00:00
加密貨幣:美國財政部刪除耶倫關于加密資產行政命令的聲明_丘比特幣是怎么賺錢的

據彭博社報道,美國財政部長耶倫周二晚在美國財政部網站上發布的一份聲明中表示,拜登政府的一項加密貨幣行政命令在鼓勵負責任的創新、解決消費者和更廣泛的金融體系面臨的潛在風險之間取得了適當的平衡.

1900/1/1 0:00:00
NFT:潮玩公司Funko財報:NFT等業務助力利潤增加87%_NFTN價格

據界面新聞報道,近日,潮流玩具上市公司Funko發布財報,潮玩公司Funko于2021年業績大增,凈銷售額達10.29億美元,同比增長58%;調整后EBITDA為1.50億元.

1900/1/1 0:00:00
ads