前言
北京時間2022年2月14日晚,TitanoFinance遭到攻擊,損失3200萬TITANO代幣。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
分析
基礎分析攻擊者地址:0xad9217e427ed9df8a89e582601a8614fd4f74563攻擊者創建合約MultipleWinnersProxyFactory:0x940151f5bbbcda5b1b482592d816e96f80d6073a攻擊者創建合約MultipleWinnersBuilder:0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a攻擊者創建合約MultipleWinners:0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046官方合約StakePrizePool:0x4d7f0a96967dce1e36dd2fbb131625bbd9106442漏洞分析
Coinbase Institutional于明年起將USDC機構獎勵利率將從1.5%提高至2.36%:12月2日消息,Coinbase Institutional在MakerDAO社區MIP81提案中表示,現已提前30天宣布自2023年1月1日起,2023年USDC機構獎勵利率從1.5%提高到2.36%。
MakerDAO表示,屆時,其PSM儲備中的16億USDC將能獲得2.36%的年回報率。[2022/12/2 21:18:00]
Qredo與MetaMask Institutional集成進入全面生產階段:據官網消息,數字資產管理平臺Qredo宣布其MetaMask Institutional集成已從Beta版本轉向全面生產階段,以為各地組織提供經過反復測試的機構級Web3和DeFi錢包。
集成的核心是Qredo的去中心化托管基礎設施,它與黃金標準的DeFi錢包MetaMask Institutional相結合。兩者一起形成了一種簡化的方式,讓組織可以在去中心化協議上進行交換、借貸和賺取收益,由Qredo去中心化多方計算(dMPC)提供保護。
據悉,自2021年10月啟動集成以來,Qredo已經在多個EVM兼容鏈上部署了數百萬美元的數字資產(包括NFT),并對集成能力進行了優化。為了為組織提供更安全、更復雜的DeFi托管,Qredo將很快發布一個靈活的有條件政策引擎和市場領先的實物保險覆蓋范圍。[2022/3/9 13:46:54]
此次事件,漏洞關鍵在于官方StakePrizePool合約中的setPrizeStrategy方法被攻擊者所利用,但該方法只有管理員才有權限進行操作。
Titans Ventures與NFT市場Colexion達成戰略合作:1月16日消息,越南區塊鏈風投機構Titans Ventures宣布,與NFT市場Colexion達成戰略合作。[2022/1/17 8:53:29]
隨后攻擊者將合約中的_prizeStrategy地址設置為攻擊者創造的合約MultipleWinners的地址
獲得權限后,攻擊者使用MultipleWinners合約中的_awardTickets方法鑄造了3200萬TicketTitano代幣到攻擊者地址
攻擊者獲取代幣后,將代幣進行轉換,最終通過PancakeSwap將其轉換為BNB,隨后分散資金到各個地址總結
本次攻擊事件核心原因在于官方StakePrizePool合約中的僅管理員調用方法被惡意利用,成因或許是項目方管理地址泄露,也可能是掌握管理員私鑰的人監守自盜。近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
以下是來自BowTiedPickle的一篇客座文章。我讀過他寫的一篇文章,并從里面學到了很多知識,因此我決定邀請他在這里寫一篇文章.
1900/1/1 0:00:00伴隨著衍生品市場的發展和長期多元化的投資需求,結構化產品的身影開始在加密市場活躍,并逐漸成長為一支新生力量.
1900/1/1 0:00:00摘要:以太坊TVL占比出現大幅下降,Terra占比上升。Uniswap交易費用下降,GasFee創近四月新低.
1900/1/1 0:00:00摘要:AvalancheTVL占比大幅增長。GasFee水平持續降低。本周NFT交易量隨著Looksrare收益降低而下降,Cryptopunks表現活躍.
1900/1/1 0:00:00我從EthDenver回家已經一個多星期了。受到推進這一領域的建設者們的啟發,我很愿意分享我所學到的東西.
1900/1/1 0:00:00最近閑下來,準備寫一篇NFT付費分析工具的深度測評。對于專業的二級NFTTrader,數據分析是必修課,并且博士也會從二級交易及投資的角度足一剖析每款工具的優缺點.
1900/1/1 0:00:00