TitanoFinance攻击事件分析

前言

北京时间 2022 年 2 月 14 日晚，Titano Finance 遭到攻击，损失 3200 万 TITANO 代币。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

分析

漏洞分析

此次事件，漏洞关键在于官方 StakePrizePool 合约中的 setPrizeStrategy 方法被攻击者所利用，但该方法只有管理员才有权限进行操作。

随后攻击者将合约中的 _prizeStrategy 地址设置为攻击者创造的合约 MultipleWinners 的地址

获得权限后，攻击者使用 MultipleWinners 合约中的_awardTickets 方法铸造了 3200 万 Ticket Titano 代币到攻击者地址

攻击者获取代币后，将代币进行转换，最终通过 PancakeSwap 将其转换为 BNB ，随后分散资金到各个地址

总 结

本次攻击事件核心原因在于官方 StakePrizePool 合约中的仅管理员调用方法被恶意利用，成因或许是项目方管理地址泄露，也可能是掌握管理员私钥的人监守自盗。

近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

查看更多

—-

编译者/作者：知道创宇区块链安

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。