IZE:慢霧發布TitanoFinance被黑簡析，owner角色可任意設置setPrizeStrategy函數_TRA

安全機構慢霧科技發布TitanoFinance被黑簡析，2022年2月14日，BSC鏈上的TitanoFinance項目遭受攻擊，慢霧安全團隊分析認為：

1.在2022-02-1018:48:04(UTC)，攻擊者創建了相關的攻擊合約(0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a)；

2.在2022-02-144:36:21(UTC)，攻擊者調用第一步中的0x186620合約中的createMultipleWinnersFromExistingPrizeStrategy函數創建了惡意的prizeStrategy合約0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046；

慢霧：共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息，慢霧首席信息安全官23pds發推表示，針對共享Apple ID導致資產被盜現象，核心問題是應用沒有和設備碼綁定，目前99%的錢包、交易App等都都存在此類問題，沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行，攻擊者在配合其他手法如社工、爆破等獲取的密碼，導致資產被盜。23pds提醒用戶不要使用共享Apple ID等，同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

3.在2022-02-144:39:12(UTC)，StakePrizePool合約(0x4d7f0a96967dce1e36dd2fbb131625bbd9106442)中，owner(0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8)調用了setPrizeStrategy函數(該函數僅owner可以調用)，使得_prizeStrategy被改成了0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046；

慢霧：警惕 Honeyswap 前端被篡改導致 approvals 到惡意地址風險:據慢霧區消息，Honeyswap官方推特發文，Honeyswap 前端錯誤導致交易到惡意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ，目前官網仍未刪除該惡意地址，請立即停止使用Honeyswap進行交易，到revoke.cash排查是否有approvals 交易到惡意地址，避免不必要的損失。[2022/5/10 3:03:22]

4.在2022-02-144:41:51(UTC)，接著攻擊者調用了所創建的惡意的prizeStrategy合約(0x49D078)中的_awardTickets函數，該函數調用了prizePool合約中(0x4d7f0a)的award函數，該函數需要滿足onlyPrizeStrategy修飾器條件(_msgSender()==address(prizeStrategy))，該函數會給指定的to地址mint指定數量的ticket代幣(TicketTitano(TickTitano)；此時prizePool合約中的_prizeStrategy已經在上一步被修改成0x49D078，滿足onlyPrizeStrategy的條件，于是StakePrizePool合約給攻擊者mint了32,000,000個ticket代幣；

動態 | 慢霧發布針對 EOS 交易 hard_fail 狀態的新型攻擊說明:據 IMEOS 報道，慢霧發文解析了 hard_fail 狀態攻擊，根據其的情報捕獲與分析，慢霧意識到針對 EOS hard_faild 狀態的新型攻擊手法可能會造成更大范圍的影響，本次手法成因為項目方未對交易狀態進行嚴格且完備的檢驗導致攻擊發生，屬于“假充值”攻擊類型的一種。在此，慢霧安全團隊建議交易所和錢包要對發送給自己的轉賬交易在不可逆的區塊前提下檢測以下幾點：1. 判斷 status 是否為 executed2. 判斷 action 是否為 transfer3. 判斷合約賬號是否為 eosio.token 或其它 token 的官方合約4. 判斷代幣名稱及精度5. 判斷金額6. 判斷 to 是否是自己平臺的充幣賬號補充說明：本次攻擊可繞過節點 read-only 模式，開啟 read-only 模式仍然會受到攻擊。因為交易的狀態為：未執行->已經執行但執行失敗，并不是回滾所以即使開啟了 read-only 模式，依然會受到攻擊。[2019/3/12]

5.在2022-02-144:43:18(UTC)，StakePrizePool合約(0x4d7f0a)中，owner再次調用了setPrizeStrategy函數，將_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7；

6.最后攻擊者調用StakePrizePool合約(0x4d7f0a)中的withdrawInstantlyFrom函數將ticket代幣換成Titano代幣，然后在pancake池子中把itano換成BNB，攻擊者重復了這個過程8次,最后共獲利4,828.7BNB，約1900w美元。

據慢霧MistTrack分析，攻擊者最初的獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563，目前被黑資金已被攻擊者轉移到其他23個錢包。此次主要由于owner角色可以任意設置setPrizeStrategy函數，導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。對此，慢霧安全團隊建議，對于敏感的函數操作，建議采用多簽錢包的角色來操作，或者把owner角色權限移交給社區管理。

Tags：IZEPRITRASTRDecentralizedUnitedPrivatixFox TradingASTR價格

USDT