Titano Finance攻擊事件分析_TIT

前言

北京時間2022年2月14日晚，TitanoFinance遭到攻擊，損失3200萬TITANO代幣。知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

分析

基礎分析

攻擊者地址：0xad9217e427ed9df8a89e582601a8614fd4f74563

ConstitutionDAO (PEOPLE)突破0.15美元，24小時交易量超2億美元:11月27日，據Uniswap數據顯示，ConstitutionDAO原生Token PEOPLE突破0.15美元，現報價0.15美元，24 小時漲幅367%。

據各平臺數據顯示，Uniswap上ConstitutionDAO (PEOPLE)24 小時交易量為9808萬美元，歐易 OKEx 上 24 小時交易量為1.38億美元。[2021/11/27 12:35:30]

攻擊者創建合約MultipleWinnersProxyFactory：0x940151f5bbbcda5b1b482592d816e96f80d6073a

PuddingSwap新增TITAN-USDT流動性礦池:據官方消息，HSC虎符智能鏈首發項目PuddingSwap將于7月8日15:00（GMT+8）新增TITAN-USDT流動性礦池。

Iron Finance是Polygon網絡上領先的部分抵押的穩定幣協議，擁有2.5億美元的TVL。IRON穩定幣部分由USDC支持，動態地由TITAN股票代幣支持。

PuddingSwap是虎符智能鏈HSC上最大的去中心化交易所，也是鏈上第一款集交易、挖礦于一身的去中心化項目。[2021/7/8 0:36:13]

攻擊者創建合約MultipleWinnersBuilder：0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a

BKEX Global將于8月18日20:30上線TIT:據BKEX Global公告，BKEX Global將于2020年8月18日20:30（UTC+8）全球首發上線TIT（Titan Protocol），開放交易對：TIT/USDT。

Titan Protocol是一個商用級的去中心化應用程序平臺，將采用一種主節點（Masternode）方案來解決目前 Bitcoin、Ethereum 等傳統主流公鏈所面臨的處理交易慢，數據龐大，被少數幾個礦池控制的問題。[2020/8/17]

攻擊者創建合約MultipleWinners：0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046

官方合約StakePrizePool：0x4d7f0a96967dce1e36dd2fbb131625bbd9106442

漏洞分析

此次事件，漏洞關鍵在于官方StakePrizePool合約中的setPrizeStrategy方法被攻擊者所利用，但該方法只有管理員才有權限進行操作。

隨后攻擊者將合約中的_prizeStrategy地址設置為攻擊者創造的合約MultipleWinners的地址

獲得權限后，攻擊者使用MultipleWinners合約中的_awardTickets方法鑄造了3200萬TicketTitano代幣到攻擊者地址

攻擊者獲取代幣后，將代幣進行轉換，最終通過PancakeSwap將其轉換為BNB，隨后分散資金到各個地址

總結

本次攻擊事件核心原因在于官方StakePrizePool合約中的僅管理員調用方法被惡意利用，成因或許是項目方管理地址泄露，也可能是掌握管理員私鑰的人監守自盜。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：TITTITATITANITATITA價格TITA幣titan幣價格American Akita

Uniswap