安全機構慢霧科技發布TitanoFinance被黑簡析,2022年2月14日,BSC鏈上的TitanoFinance項目遭受攻擊,慢霧安全團隊分析認為:
1.在2022-02-1018:48:04(UTC),攻擊者創建了相關的攻擊合約(0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a);
2.在2022-02-144:36:21(UTC),攻擊者調用第一步中的0x186620合約中的createMultipleWinnersFromExistingPrizeStrategy函數創建了惡意的prizeStrategy合約0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046;
慢霧:近期出現新的流行惡意盜幣軟件Mystic Stealer,可針對40款瀏覽器、70款瀏覽器擴展進行攻擊:6月20日消息,慢霧首席信息安全官@IM_23pds在社交媒體上發文表示,近期已出現新的加密貨幣盜竊軟件Mystic Stealer,該軟件可針對40款瀏覽器、70款瀏覽器擴展、加密貨幣錢包進行攻擊,如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名錢包,是目前最流行的惡意軟件,請用戶注意風險。[2023/6/20 21:49:05]
3.在2022-02-144:39:12(UTC),StakePrizePool合約(0x4d7f0a96967dce1e36dd2fbb131625bbd9106442)中,owner(0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8)調用了setPrizeStrategy函數(該函數僅owner可以調用),使得_prizeStrategy被改成了0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046;
GoPlus與慢霧提出合約可限時授權EIP提案,以降低遺留授權導致的被盜風險:10月6日消息,安全機構GoPlus與慢霧提出可限時授權的EIP標準,以降低遺留授權導致的被盜風險。標準中提到,包括TransitSwap事件在內,反復發生的資產盜竊是由于用戶對合約的過度授權造成的,如果合約出錯,所有沒有召回授權的用戶都會受到攻擊。
GoPlus與慢霧提出的解決方案可以為ERC-20Token設置Approv,以在默認時間段內自動撤回授權,或者使用自定義的時間限制來召回授權并及時避免風險,并提交了一份新的EIP,目前正在由以太坊研究部門審查。[2022/10/6 18:41:11]
4.在2022-02-144:41:51(UTC),接著攻擊者調用了所創建的惡意的prizeStrategy合約(0x49D078)中的_awardTickets函數,該函數調用了prizePool合約中(0x4d7f0a)的award函數,該函數需要滿足onlyPrizeStrategy修飾器條件(_msgSender()==address(prizeStrategy)),該函數會給指定的to地址mint指定數量的ticket代幣(TicketTitano(TickTitano);此時prizePool合約中的_prizeStrategy已經在上一步被修改成0x49D078,滿足onlyPrizeStrategy的條件,于是StakePrizePool合約給攻擊者mint了32,000,000個ticket代幣;
金色財經獨家采訪 慢霧科技:此次EOS漏洞是真實存在的并且可信度非常高:今日,360表示EOS網絡存在漏洞,對此,金色財經獨家采訪了慢霧科技,慢霧科技表示:這個漏洞本身是存在的并且可信度非常高,而且是可以直接拿到EOS超級節點服務器的權限,360所描述的史詩級漏洞,這種表述不過分。360沒有披露漏洞細節是可以理解的,此次漏洞是在EOS網絡上發布的惡意智能合約,該智能合約可以同步到區塊鏈網絡上,每個超級節點都會同步。這個惡意的智能合約會導致合約的虛擬機被穿透,打穿虛擬機到服務器,從而控制服務器。EOS 超級節點攻擊有幾個入口P2P 端口、RPC 端口、惡意智能合約、服務器與集群等其他缺陷、人員安全缺陷。此次漏洞是第三點從智能合約對區塊鏈網絡進行的攻擊。[2018/5/29]
5.在2022-02-144:43:18(UTC),StakePrizePool合約(0x4d7f0a)中,owner再次調用了setPrizeStrategy函數,將_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7;
6.最后攻擊者調用StakePrizePool合約(0x4d7f0a)中的withdrawInstantlyFrom函數將ticket代幣換成Titano代幣,然后在pancake池子中把itano換成BNB,攻擊者重復了這個過程8次,最后共獲利4,828.7BNB,約1900w美元。
據慢霧MistTrack分析,攻擊者最初的獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑資金已被攻擊者轉移到其他23個錢包。此次主要由于owner角色可以任意設置setPrizeStrategy函數,導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。對此,慢霧安全團隊建議,對于敏感的函數操作,建議采用多簽錢包的角色來操作,或者把owner角色權限移交給社區管理。
Tags:IZEPRITRAEGYUnited Emirate Decentralized CoinPrideTokenPrometheus TradingEGYPT
據韓國首爾經濟日報報道,韓國法院計劃根據《遺產與贈與稅法》評估和處理破產個人或公司擁有的虛擬資產。據悉,韓國首爾破產法院虛擬資產研究小組計劃于今年上半年發布《破產案件虛擬資產處理指南》.
1900/1/1 0:00:00以太坊基礎設施開發公司ConsenSys官方表示,以70億美元估值完成4.5億美元D輪融資。本輪融資由ParaFiCapital領投,淡馬錫、軟銀愿景基金二期、微軟、AnthosCapital、.
1900/1/1 0:00:00有著“冰王子”之稱的俄羅斯著名花滑運動員普魯申科Plushenko在自己的個人推特上宣布將在Opensea發行1萬份IceDeerNFT,助力北京冬奧會.
1900/1/1 0:00:00據浙江法制報報道,去年6月,唐某以USDT向錢某、袁某二人出借40萬元,并簽署《借條》。約定到期后,錢某、袁某未依約還款,唐某于是將二人告上法庭,主張其已以USDT代替人民幣進行交付,并提供US.
1900/1/1 0:00:00公鏈項目PortaNetwork首席執行官兼創始人ShaneBenjamin發文宣布項目將停止運營.
1900/1/1 0:00:00據慢霧區情報,朝鮮APT組織LazarusGroup使用一系列惡意應用程序針對數字貨幣行業進行定向APT攻擊。過程如下:1.該黑客組織充分采用社會工程學原理,在各大社交媒體中扮演角色.
1900/1/1 0:00:00