Titano Finance攻擊事件分析_TIT

前言

北京時間2022年2月14日晚，TitanoFinance遭到攻擊，損失3200萬TITANO代幣。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

分析

基礎分析攻擊者地址：0xad9217e427ed9df8a89e582601a8614fd4f74563攻擊者創建合約MultipleWinnersProxyFactory：0x940151f5bbbcda5b1b482592d816e96f80d6073a攻擊者創建合約MultipleWinnersBuilder：0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a攻擊者創建合約MultipleWinners：0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046官方合約StakePrizePool：0x4d7f0a96967dce1e36dd2fbb131625bbd9106442漏洞分析

ConstitutionDAO為美國憲法副本拍賣籌集2500萬美元:金色財經報道，ConstitutionDAO的組織者表示，已經為定于周四舉行的美國憲法副本拍賣籌集了2500萬美元的捐款，超過了原定的2000萬美元的目標。此次罕見的美國憲法副本拍賣會由蘇富比組織，捐贈目標是根據拍賣行最初提出的估價確定的。此前消息，該項目的成員正與蘇富比和加密貨幣交易所FTX進行談判，以嘗試實現這一目標。ConstitutionDAO的想法是以ETH的形式籌集足夠的加密貨幣以在拍賣中購買美國憲法副本。[2021/11/18 6:57:21]

Synthetix正式發布Biotite產品新功能:Synthetix正式發布Biotite產品，其中，包括新的Synth圖標，通過與Synthetix協議的巧妙結合，可以讓用戶更清楚了解每個Synth資產所代表的含義，每一個合成資產圖標上，綠色代表多頭頭寸，紅色代表空頭頭寸；另一個新功能是Mintr中的清算警報，該功能將提醒所有質押者當前的清算比率，以及如果該比率降低至200%以下，則會出現紅色條幅提醒。[2020/10/9]

此次事件，漏洞關鍵在于官方StakePrizePool合約中的setPrizeStrategy方法被攻擊者所利用，但該方法只有管理員才有權限進行操作。

ETC上線Bitit:ETC發布推文稱，ETC已上線Bitit平臺。Bitit是一個加密貨幣交易平臺，此前只支持BTC、ETH、XRP和LTC。目前在Bitfinex平臺，ETC價格為18.273美元，漲幅達7.6%。[2018/3/16]

隨后攻擊者將合約中的_prizeStrategy地址設置為攻擊者創造的合約MultipleWinners的地址

獲得權限后，攻擊者使用MultipleWinners合約中的_awardTickets方法鑄造了3200萬TicketTitano代幣到攻擊者地址

攻擊者獲取代幣后，將代幣進行轉換，最終通過PancakeSwap將其轉換為BNB，隨后分散資金到各個地址總結

本次攻擊事件核心原因在于官方StakePrizePool合約中的僅管理員調用方法被惡意利用，成因或許是項目方管理地址泄露，也可能是掌握管理員私鑰的人監守自盜。近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：TITULTIIPLPRItit幣價格ULTIMO GGIPL幣Privateum Initiative

POL幣最新價格