Titano Finance攻擊事件分析_TIT

前言

北京時間2022年2月14日晚，TitanoFinance遭到攻擊，損失3200萬TITANO代幣。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

分析

基礎分析攻擊者地址：0xad9217e427ed9df8a89e582601a8614fd4f74563攻擊者創建合約MultipleWinnersProxyFactory：0x940151f5bbbcda5b1b482592d816e96f80d6073a攻擊者創建合約MultipleWinnersBuilder：0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a攻擊者創建合約MultipleWinners：0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046官方合約StakePrizePool：0x4d7f0a96967dce1e36dd2fbb131625bbd9106442漏洞分析

ConstitutionDAO 在競拍《憲法》副本失敗后提供退款和換取新治理代幣兩個選項:11月21日消息，去中心化自治組織 ConstitutionDAO 將對每個用戶的 PEOPLE 代幣持倉量（包括已認領和未認領的）進行快照，一周之內將會建立一個網站，用戶可以以初始兌換價格將 PEOPLE 兌換為 ETH。此外，用戶也可以選擇不兌換，將資金投入到 DAO 金庫，換取新的治理代幣 WTP（We The People）。

11 月 19 日，ConstitutionDAO 出價 4100 萬美元競拍美國《憲法》副本，但未最終拍得。[2021/11/21 7:02:47]

TITAN銷毀90億已發行代幣:據TITAN (Titanswap) 官方消息，TITAN已于9月24日上線火幣“全球觀察區”并開啟“新幣挖礦”。TITAN基金會為了讓通證模式更合理，能進一步賦能項目長期發展的戰略目標，在反復征求社區意見和與所有投資人協商達成一致的基礎上，對TITAN已經發行的100億中的90億代幣進行銷毀，鏈上記錄將同步公布。

參與火幣鎖倉賺幣的TITAN上新挖礦的用戶不受影響，90億代幣直接從早期投資人和基金會持倉中等比例銷毀，即TITAN總量變更為10億，其中早期投資人持有1億代幣，基金會持有9億代幣并通過流動性挖礦釋放。按照0.3 USDT的現價，TITAN銷毀后總市值約3億USDT，流通市值約3000萬USDT。[2020/9/25]

此次事件，漏洞關鍵在于官方StakePrizePool合約中的setPrizeStrategy方法被攻擊者所利用，但該方法只有管理員才有權限進行操作。

動態 | Bittrex將使用IdentityMind的數字身份平臺進行自動交易監控:據cryptoninjas報道，美國加密貨幣交易所和技術平臺Bittrex將使用IdentityMind的數字身份平臺進行自動交易監控，將成為其AML計劃的核心功能。據悉，IdentityMind是一個用于在線風險管理和合規自動化的SaaS平臺。[2019/5/22]

隨后攻擊者將合約中的_prizeStrategy地址設置為攻擊者創造的合約MultipleWinners的地址

獲得權限后，攻擊者使用MultipleWinners合約中的_awardTickets方法鑄造了3200萬TicketTitano代幣到攻擊者地址

攻擊者獲取代幣后，將代幣進行轉換，最終通過PancakeSwap將其轉換為BNB，隨后分散資金到各個地址總結

本次攻擊事件核心原因在于官方StakePrizePool合約中的僅管理員調用方法被惡意利用，成因或許是項目方管理地址泄露，也可能是掌握管理員私鑰的人監守自盜。近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：TITTANTITANITAAltitude FinanceTITANIAtitan幣價格Bitalgo

幣贏交易所