慢雾发布TitanoFinance被黑简析，owner角色可任意设置setPrizeStrategy函数

安全机构慢雾科技发布TitanoFinance被黑简析，2022年2月14日，BSC链上的TitanoFinance项目遭受攻击，慢雾安全团队分析认为：

1.在2022-02-1018:48:04(UTC)，攻击者创建了相关的攻击合约(0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a)；

2.在2022-02-144:36:21(UTC)，攻击者调用第一步中的0x186620合约中的createMultipleWinnersFromExistingPrizeStrategy函数创建了恶意的prizeStrategy合约0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046；

慢雾创始人余弦：保持IOS系统更新习惯，另外建议尽量不要使用iMessage功能:金色财经报道，卡巴斯基首席执行官尤金·卡巴斯基在社交媒体上称，我们发现了一种针对 iOS 的新网络攻击，称为三角测量。攻击从带有恶意附件的 iMessage 开始，利用 iOS 中的多个漏洞安装间谍软件。无需用户操作。

对此，慢雾创始人余弦转发提醒称，这黑客组织是下血本的，一条 iMessage 消息不需要什么用户交互即可静默地在你的 iOS 上植入木马，远程控制你的 iPhone，禁用升级、重启恢复、偷钱包的能力肯定也是绰绰有余，但这个组织的意图不是这个。不过还是别大意，系统保持更新习惯（虽然木马会禁用更新，这个可能也可以作为判断你 iPhone 是否正常的点），另外强烈建议，iMessage 这功能没什么软用就别用了…[2023/6/2 11:53:30]

3.在2022-02-144:39:12(UTC)，StakePrizePool合约(0x4d7f0a96967dce1e36dd2fbb131625bbd9106442)中，owner(0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8)调用了setPrizeStrategy函数(该函数仅owner可以调用)，使得_prizeStrategy被改成了0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046；

慢雾MistTrack：SafeDollar被盗25万美元已转入Tornado Cash，与PancakeBunny洗币手法相似:据慢雾MistTrack监测，6月28日攻击SafeDollar的黑客地址（0xFeDC24...Be7eBd）已将价值约25万美元的USDT和USDC从Polygon跨链到ETH，接着先通过ParaSwap将资金兑换为DAI，后通过Uniswap将DAI兑换为近100 ETH，最终转入Tornado Cash。该洗币手法与此前PancakeBunny事件相似：PancakeBunny总共被黑损失约4600万美金，攻击者分批将约1600万美金的DAI兑换成ETH，然后转入Tornado Cash。[2021/6/28 0:12:09]

4.在2022-02-144:41:51(UTC)，接着攻击者调用了所创建的恶意的prizeStrategy合约(0x49D078)中的_awardTickets函数，该函数调用了prizePool合约中(0x4d7f0a)的award函数，该函数需要满足onlyPrizeStrategy修饰器条件(_msgSender()==address(prizeStrategy))，该函数会给指定的to地址mint指定数量的ticket代币(TicketTitano(TickTitano)；此时prizePool合约中的_prizeStrategy已经在上一步被修改成0x49D078，满足onlyPrizeStrategy的条件，于是StakePrizePool合约给攻击者mint了32,000,000个ticket代币；

慢雾余弦：哪怕安全审计过的DeFi都可能存在权限过大风险:慢雾科技创始人今日发微博称，哪怕安全审计过的DeFi都可能存在权限过大风险，“权限过大”一直以来是个争议，就看这些权限是什么，比如常见的：铸币、销毁、升级、关键数值调整、关键权限变更、关键风控等等，“权限过大”极端了就可能就成为某种“后门”，这个是需要警惕的。DeFi项目方有责任解释“权限过大”的意图，透明出来；安全审计公司也有义务。[2020/9/2]

5.在2022-02-144:43:18(UTC)，StakePrizePool合约(0x4d7f0a)中，owner再次调用了setPrizeStrategy函数，将_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7；

6.最后攻击者调用StakePrizePool合约(0x4d7f0a)中的withdrawInstantlyFrom函数将ticket代币换成Titano代币，然后在pancake池子中把itano换成BNB，攻击者重复了这个过程8次,最后共获利4,828.7BNB，约1900w美元。

据慢雾MistTrack分析，攻击者最初的获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563，目前被黑资金已被攻击者转移到其他23个钱包。此次主要由于owner角色可以任意设置setPrizeStrategy函数，导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。对此，慢雾安全团队建议，对于敏感的函数操作，建议采用多签钱包的角色来操作，或者把owner角色权限移交给社区管理。

标签：PRIIZETRASTRATEverPrinterFootball DecentralizedTheForce.TradeSubstratum

芝麻开门交易所下载热门资讯