比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > PEPE > Info

慢霧:Titano Finance被黑因池子被設置成惡意PrizeStrategy合約造成后續利用_TRA

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,2月14日,BSC鏈上的TitanoFinance項目遭受攻擊,最初獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑資金已被攻擊者轉移到其他23個錢包。慢霧安全團隊分析如下:

1.攻擊者創建了相關的攻擊合約;

2.攻擊者調用第一步中的合約中的函數創建了惡意的prizeStrategy合約;

慢霧:攻擊者系通過“supply()”函數重入Lendf.Me合約 實現重入攻擊:慢霧安全團隊發文跟進“DeFi平臺Lendf.Me被黑”一事的具體原因及防御建議。文章分析稱,通過將交易放在bloxy.info上查看完整交易流程,可發現攻擊者對Lendf.Me進行了兩次“supply()”函數的調用,但是這兩次調用都是獨立的,并不是在前一筆“supply()”函數中再次調用“supply()”函數。緊接著,在第二次“supply()”函數的調用過程中,攻擊者在他自己的合約中對Lendf.Me的“withdraw()”函數發起調用,最終提現。慢霧安全團隊表示,不難分析出,攻擊者的“withdraw()”調用是發生在transferFrom函數中,也就是在Lendf.Me通過transferFrom調用用戶的“tokensToSend()”鉤子函數的時候調用的。很明顯,攻擊者通過“supply()”函數重入了Lendf.Me合約,造成了重入攻擊。[2020/4/19]

3.StakePrizePool合約中,owner調用了setPrizeStrategy函數(該函數僅owner可以調用),使得_prizeStrategy被改成惡意的prizeStrategy合約。

聲音 | 慢霧:ETC 51%雙花攻擊所得的所有ETC已歸還完畢:據慢霧區消息,ETC 51%攻擊后續:繼Gate.io宣稱攻擊者歸還了價值10萬美金的ETC后,另一家被成功攻擊的交易所Yobit近日也宣稱收到了攻擊者歸還的122735 枚 ETC。根據慢霧威脅情報系統的深度關聯分析發現:攻擊者于UTC時間2019年1月10日11點多完成了攻擊所獲的所有ETC的歸還工作,至此,持續近一周的 ETC 51% 陰云已散。[2019/1/16]

4.接著攻擊者調用了所創建的惡意的prizeStrategy合約中的_awardTickets函數,該函數調用了prizePool合約中的award函數,該函數需要滿足onlyPrizeStrategy修飾器條件(_msgSender()==address(prizeStrategy)),該函數會給指定的to地址mint指定數量的ticket代幣。此時prizePool合約中的_prizeStrategy已經在上一步被修改,滿足onlyPrizeStrategy的條件,于是StakePrizePool合約給攻擊者mint了32,00萬個ticket代幣。

聲音 | 慢霧:采用鏈上隨機數方案的 DApp 需緊急暫停:根據近期針對EOS DApp遭遇“交易排擠攻擊”的持續性威脅情報監測:EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陸續被攻破,該攻擊團伙(floatingsnow等)的攻擊行為還在持續。在EOS主網從根本上解決這類缺陷之前,慢霧建議所有采用鏈上隨機數方案的DAPP緊急暫停并做好風控機制升級。為了安全起見,強烈建議所有競技類DAPP采用EOS官方很早就推薦的鏈下隨機種子的隨機數生成方案[2019/1/16]

5.StakePrizePool合約中,owner再次調用了setPrizeStrategy函數,將_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7。

6.最后攻擊者調用StakePrizePool合約中的函數將ticket代幣換成Titano代幣,然后在pancake池子中把Titano換成BNB,攻擊者重復了這個過程8次,最后共獲利4828.7BNB,約190萬美元。

該攻擊主要由于owner角色可以任意設置setPrizeStrategy函數,導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。

Tags:IZEPRITRASTRDecentralized Community Investment ProtocolPRIMATETRAVAMSTR幣

PEPE
從虛擬餐廳到虛擬時裝秀,行業巨頭掀起元宇宙商標注冊潮_區塊鏈

自從Facebook更名為Meta后,關于元宇宙的討論愈發激烈,這一詞匯也越來越多的出現在我們的視野里。這是一個非常有趣的話題.

1900/1/1 0:00:00
BuyTheBroncos DAO尋求募資超40億美元收購NFL丹佛野馬隊_BUY

據BeinCrypto2月20日消息,一個名為BuyTheBroncosDAO的去中心化組織正在尋求籌集超過40億美元來收購美國國家橄欖球聯盟丹佛野馬隊.

1900/1/1 0:00:00
浙江政務服務中心回應虛擬貨幣挖礦差別電價政策:系配套處罰政策,仍不允許挖礦活動_區塊鏈

據《華夏時報》消息,針對近期發布的虛擬貨幣“挖礦”用電實行差別電價政策,浙江政務服務中心2月22日向記者表示,經杭州市上城區發展改革和經濟信息化局核實,虛擬貨幣“挖礦”活動仍是不允許的.

1900/1/1 0:00:00
Chainalysis報告:NFT市場存在大量清洗交易和洗錢活動_CHA

本文來自?Decrypt,原文作者:ScottChipolinaOdaily星球日報譯者?|念銀思唐區塊鏈分析平臺Chainalysis在新興NFT市場發現了清洗交易和洗錢活動的“重要”證據.

1900/1/1 0:00:00
谷歌云正在招聘大量區塊鏈專家,未來或接受加密貨幣支付_WEB

比推消息,據CNBC報道,谷歌云正在招聘一個區塊鏈專家團隊,以利用向去中心化Web3應用程序過渡的機會。谷歌云將圍繞區塊鏈應用開展業務,在零售、醫療保健和其他行業大展拳腳.

1900/1/1 0:00:00
中央網信辦等十六部門聯合公布國家區塊鏈創新應用試點名單_數字貨幣

來源:網信中國公眾號 2022年1月30日消息,為深入開展區塊鏈創新應用工作,中央網信辦秘書局、中央宣傳部辦公廳、最高人民法院辦公廳、最高人民檢察院辦公廳、教育部辦公廳、工業和信息化部辦公廳、民.

1900/1/1 0:00:00
ads