買比特幣 買比特幣
Ctrl+D 買比特幣
ads

TRAT:慢霧:Titano Finance被黑因池子被設置成惡意PrizeStrategy合約造成后續利用_Privatix

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,2月14日,BSC鏈上的TitanoFinance項目遭受攻擊,最初獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑資金已被攻擊者轉移到其他23個錢包。慢霧安全團隊分析如下:

1.攻擊者創建了相關的攻擊合約;

2.攻擊者調用第一步中的合約中的函數創建了惡意的prizeStrategy合約;

慢霧:遠程命令執行漏洞CVE-2023-37582在互聯網上公開,已出現攻擊案例:金色財經報道,據慢霧消息,7.12日Apache RocketMQ發布嚴重安全提醒,披露遠程命令執行漏洞(CVE-2023-37582)目前PoC在互聯網上公開,已出現攻擊案例。Apache RocketMQ是一款開源的分布式消息和流處理平臺,提供高效、可靠、可擴展的低延遲消息和流數據處理能力,廣泛用于異步通信、應用解耦、系統集等場景。加密貨幣行業有大量平臺采用此產品用來處理消息服務,注意風險。漏洞描述:當RocketMQ的NameServer組件暴露在外網時,并且缺乏有效的身份認證機制時,攻擊者可以利用更新配置功能,以RocketMQ運行的系統用戶身份執行命令。[2023/7/14 10:54:22]

3.StakePrizePool合約中,owner調用了setPrizeStrategy函數(該函數僅owner可以調用),使得_prizeStrategy被改成惡意的prizeStrategy合約。

慢霧:區塊鏈因黑客攻擊損失總金額已超300億美元:金色財經報道,據慢霧統計數據顯示,自2012年1月以來,區塊鏈黑客造成的損失總金額約為30,011,604,576.24美元;黑客事件總數達到1101起。

其中Exchange、ETH Ecosystem、Bridge是在黑客攻擊中損失最大的類別,損失金額分別為10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合約漏洞、Rug Pull、閃電貸攻擊是最常見的攻擊方式,分別發生黑客事件137起,106起,87起。[2023/7/7 22:24:09]

4.接著攻擊者調用了所創建的惡意的prizeStrategy合約中的_awardTickets函數,該函數調用了prizePool合約中的award函數,該函數需要滿足onlyPrizeStrategy修飾器條件(_msgSender()==address(prizeStrategy)),該函數會給指定的to地址mint指定數量的ticket代幣。此時prizePool合約中的_prizeStrategy已經在上一步被修改,滿足onlyPrizeStrategy的條件,于是StakePrizePool合約給攻擊者mint了32,00萬個ticket代幣。

慢霧:針對macOS系統惡意軟件RustBucket竊取系統信息:金色財經報道,SlowMist發布安全警報,針對macOS 運行系統的 Rust 和 Objective-C 編寫的惡意軟件RustBucket,感染鏈由一個 macOS 安裝程序組成,該安裝程序安裝了一個帶后門但功能正常的 PDF 閱讀器。然后偽造的 PDF 閱讀器需要打開一個特定的 PDF 文件,該文件作為觸發惡意活動的密鑰。[2023/5/23 15:20:27]

5.StakePrizePool合約中,owner再次調用了setPrizeStrategy函數,將_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7。

6.最后攻擊者調用StakePrizePool合約中的函數將ticket代幣換成Titano代幣,然后在pancake池子中把Titano換成BNB,攻擊者重復了這個過程8次,最后共獲利4828.7BNB,約190萬美元。

該攻擊主要由于owner角色可以任意設置setPrizeStrategy函數,導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。

Tags:IZEPRIEGYTRATGameStop tokenized stock FTXPrivatixEGY幣Substratum

火必下載
BTC:鏈上追蹤:洗幣手法科普之 Peel Chain_區塊鏈用大白話解釋

編輯:Lisa@慢霧AML團隊校對:Zero@慢霧AML團隊前段時間,我們發布了一篇?Bitfinex被黑案件細節分析的文章,引起了劇烈的討論.

1900/1/1 0:00:00
MIC:歐盟提出限制能源密集型加密貨幣的擬議法規條款_MicroMoney

據CoinDesk2月24日消息,歐盟立法者正準備就管理加密資產的擬議法規進行機構間討論,并可能禁止比特幣等能源密集型加密貨幣.

1900/1/1 0:00:00
CHA:Chainalysis:4%的加密鯨魚地址涉及非法資金,其持有價值超250億美元的加密貨幣_ABC.Chain

據Cointelegraph2月17日消息,區塊鏈分析公司Chainalysis的數據顯示,4068個加密鯨魚地址涉及非法資金,這些鯨魚持有價值超250億美元的加密貨幣.

1900/1/1 0:00:00
COI:總募資將達75.15億美元 傳奇風投a16z如何玩轉“加密時代”?_加密貨幣f行情

來源:財聯社|區塊鏈日報 記者董宇佳 硅谷風險投資機構AndreessenHorowitz是市面上最活躍的加密領域投資者之一。2022年,a16z繼續在區塊鏈領域上加倍下注.

1900/1/1 0:00:00
CRYP:蘇富比因藏家0x650d開拍前反悔,取消拍賣104枚CryptoPunks_NFT

巴比特訊,2月24日上午,此前宣布于2月23日與蘇富比合作拍賣104枚CryptoPunks的收藏家0x650d于開拍前反悔,發文“不好意思,我決定HODL”,故導致拍賣取消.

1900/1/1 0:00:00
COI:美國費城正探索與CityCoin合作以推出費城CityCoin_mskccoin

據StateScoop2月2日消息,費城市長吉姆·肯尼(JimKenney)已經批準該市開始探索與CityCoin合作的可能.

1900/1/1 0:00:00
ads