安全机构慢雾科技发布TitanoFinance被黑简析,2022年2月14日,BSC链上的TitanoFinance项目遭受攻击,慢雾安全团队分析认为:
1.在2022-02-1018:48:04(UTC),攻击者创建了相关的攻击合约(0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a);
2.在2022-02-144:36:21(UTC),攻击者调用第一步中的0x186620合约中的createMultipleWinnersFromExistingPrizeStrategy函数创建了恶意的prizeStrategy合约0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046;
慢雾创始人余弦:保持IOS系统更新习惯,另外建议尽量不要使用iMessage功能:金色财经报道,卡巴斯基首席执行官尤金·卡巴斯基在社交媒体上称,我们发现了一种针对 iOS 的新网络攻击,称为三角测量。攻击从带有恶意附件的 iMessage 开始,利用 iOS 中的多个漏洞安装间谍软件。无需用户操作。
对此,慢雾创始人余弦转发提醒称,这黑客组织是下血本的,一条 iMessage 消息不需要什么用户交互即可静默地在你的 iOS 上植入木马,远程控制你的 iPhone,禁用升级、重启恢复、偷钱包的能力肯定也是绰绰有余,但这个组织的意图不是这个。不过还是别大意,系统保持更新习惯(虽然木马会禁用更新,这个可能也可以作为判断你 iPhone 是否正常的点),另外强烈建议,iMessage 这功能没什么软用就别用了…[2023/6/2 11:53:30]
3.在2022-02-144:39:12(UTC),StakePrizePool合约(0x4d7f0a96967dce1e36dd2fbb131625bbd9106442)中,owner(0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8)调用了setPrizeStrategy函数(该函数仅owner可以调用),使得_prizeStrategy被改成了0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046;
慢雾MistTrack:SafeDollar被盗25万美元已转入Tornado Cash,与PancakeBunny洗币手法相似:据慢雾MistTrack监测,6月28日攻击SafeDollar的黑客地址(0xFeDC24...Be7eBd)已将价值约25万美元的USDT和USDC从Polygon跨链到ETH,接着先通过ParaSwap将资金兑换为DAI,后通过Uniswap将DAI兑换为近100 ETH,最终转入Tornado Cash。该洗币手法与此前PancakeBunny事件相似:PancakeBunny总共被黑损失约4600万美金,攻击者分批将约1600万美金的DAI兑换成ETH,然后转入Tornado Cash。[2021/6/28 0:12:09]
4.在2022-02-144:41:51(UTC),接着攻击者调用了所创建的恶意的prizeStrategy合约(0x49D078)中的_awardTickets函数,该函数调用了prizePool合约中(0x4d7f0a)的award函数,该函数需要满足onlyPrizeStrategy修饰器条件(_msgSender()==address(prizeStrategy)),该函数会给指定的to地址mint指定数量的ticket代币(TicketTitano(TickTitano);此时prizePool合约中的_prizeStrategy已经在上一步被修改成0x49D078,满足onlyPrizeStrategy的条件,于是StakePrizePool合约给攻击者mint了32,000,000个ticket代币;
慢雾余弦:哪怕安全审计过的DeFi都可能存在权限过大风险:慢雾科技创始人今日发微博称,哪怕安全审计过的DeFi都可能存在权限过大风险,“权限过大”一直以来是个争议,就看这些权限是什么,比如常见的:铸币、销毁、升级、关键数值调整、关键权限变更、关键风控等等,“权限过大”极端了就可能就成为某种“后门”,这个是需要警惕的。DeFi项目方有责任解释“权限过大”的意图,透明出来;安全审计公司也有义务。[2020/9/2]
5.在2022-02-144:43:18(UTC),StakePrizePool合约(0x4d7f0a)中,owner再次调用了setPrizeStrategy函数,将_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7;
6.最后攻击者调用StakePrizePool合约(0x4d7f0a)中的withdrawInstantlyFrom函数将ticket代币换成Titano代币,然后在pancake池子中把itano换成BNB,攻击者重复了这个过程8次,最后共获利4,828.7BNB,约1900w美元。
据慢雾MistTrack分析,攻击者最初的获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑资金已被攻击者转移到其他23个钱包。此次主要由于owner角色可以任意设置setPrizeStrategy函数,导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。对此,慢雾安全团队建议,对于敏感的函数操作,建议采用多签钱包的角色来操作,或者把owner角色权限移交给社区管理。
标签:PRIIZETRASTRATEverPrinterFootball DecentralizedTheForce.TradeSubstratum
据彭博社报道,加密亿万富翁ChrisLarsen和生态非政府组织Greenpeace在内的几个气候活动团体正在发起一项名为“改变代码,而不是气候”(ChangetheCode,Nottheclimate)的活动,旨在向比特币社区施压.
1900/1/1 0:00:00中国互联网金融协会、中国银行业协会、中国证券业协会发布“关于防范NFT相关金融风险的倡议”。其中提到,坚决遏制NFT金融化证券化倾向,从严防范非法金融活动风险.
1900/1/1 0:00:00据安全研究人员3xp0rt称,一种新的恶意软件——MarsStealer,对2019年信息窃取Oski木马进行了升级,现在针对40多个浏览器扩展加密钱包,以及流行的双重认证(2FA),具有抓取用户私钥的功能.
1900/1/1 0:00:00据CoinMarketCap报道,MicroStrategy首席执行官MichaelSaylor在4月6日开幕的比特币2022大会的彭博预热活动中称比特币比黄金更适合MicroStrategy,其公司选择比特币而非黄金并不后悔.
1900/1/1 0:00:00据CoinDesk报道,加拿大安大略省警察局和加拿大皇家骑警下令所有受监管的金融公司停止与34个加密钱包地址有关的任何交易,这些钱包与资助该国卡车司机发起的抗议活动有关.
1900/1/1 0:00:00据官方消息,FTX周一宣布推出其首个慈善基金FTXFutureFund,计划今年至少分配1亿美元,最多部署10亿美元.
1900/1/1 0:00:00