據慢霧區情報,2月14日,BSC鏈上的TitanoFinance項目遭受攻擊,最初獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑資金已被攻擊者轉移到其他23個錢包。慢霧安全團隊分析如下:
1.攻擊者創建了相關的攻擊合約;
2.攻擊者調用第一步中的合約中的函數創建了惡意的prizeStrategy合約;
慢霧:遠程命令執行漏洞CVE-2023-37582在互聯網上公開,已出現攻擊案例:金色財經報道,據慢霧消息,7.12日Apache RocketMQ發布嚴重安全提醒,披露遠程命令執行漏洞(CVE-2023-37582)目前PoC在互聯網上公開,已出現攻擊案例。Apache RocketMQ是一款開源的分布式消息和流處理平臺,提供高效、可靠、可擴展的低延遲消息和流數據處理能力,廣泛用于異步通信、應用解耦、系統集等場景。加密貨幣行業有大量平臺采用此產品用來處理消息服務,注意風險。漏洞描述:當RocketMQ的NameServer組件暴露在外網時,并且缺乏有效的身份認證機制時,攻擊者可以利用更新配置功能,以RocketMQ運行的系統用戶身份執行命令。[2023/7/14 10:54:22]
3.StakePrizePool合約中,owner調用了setPrizeStrategy函數(該函數僅owner可以調用),使得_prizeStrategy被改成惡意的prizeStrategy合約。
慢霧:區塊鏈因黑客攻擊損失總金額已超300億美元:金色財經報道,據慢霧統計數據顯示,自2012年1月以來,區塊鏈黑客造成的損失總金額約為30,011,604,576.24美元;黑客事件總數達到1101起。
其中Exchange、ETH Ecosystem、Bridge是在黑客攻擊中損失最大的類別,損失金額分別為10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合約漏洞、Rug Pull、閃電貸攻擊是最常見的攻擊方式,分別發生黑客事件137起,106起,87起。[2023/7/7 22:24:09]
4.接著攻擊者調用了所創建的惡意的prizeStrategy合約中的_awardTickets函數,該函數調用了prizePool合約中的award函數,該函數需要滿足onlyPrizeStrategy修飾器條件(_msgSender()==address(prizeStrategy)),該函數會給指定的to地址mint指定數量的ticket代幣。此時prizePool合約中的_prizeStrategy已經在上一步被修改,滿足onlyPrizeStrategy的條件,于是StakePrizePool合約給攻擊者mint了32,00萬個ticket代幣。
慢霧:針對macOS系統惡意軟件RustBucket竊取系統信息:金色財經報道,SlowMist發布安全警報,針對macOS 運行系統的 Rust 和 Objective-C 編寫的惡意軟件RustBucket,感染鏈由一個 macOS 安裝程序組成,該安裝程序安裝了一個帶后門但功能正常的 PDF 閱讀器。然后偽造的 PDF 閱讀器需要打開一個特定的 PDF 文件,該文件作為觸發惡意活動的密鑰。[2023/5/23 15:20:27]
5.StakePrizePool合約中,owner再次調用了setPrizeStrategy函數,將_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7。
6.最后攻擊者調用StakePrizePool合約中的函數將ticket代幣換成Titano代幣,然后在pancake池子中把Titano換成BNB,攻擊者重復了這個過程8次,最后共獲利4828.7BNB,約190萬美元。
該攻擊主要由于owner角色可以任意設置setPrizeStrategy函數,導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。
Tags:IZEPRIEGYTRATGameStop tokenized stock FTXPrivatixEGY幣Substratum
編輯:Lisa@慢霧AML團隊校對:Zero@慢霧AML團隊前段時間,我們發布了一篇?Bitfinex被黑案件細節分析的文章,引起了劇烈的討論.
1900/1/1 0:00:00據CoinDesk2月24日消息,歐盟立法者正準備就管理加密資產的擬議法規進行機構間討論,并可能禁止比特幣等能源密集型加密貨幣.
1900/1/1 0:00:00據Cointelegraph2月17日消息,區塊鏈分析公司Chainalysis的數據顯示,4068個加密鯨魚地址涉及非法資金,這些鯨魚持有價值超250億美元的加密貨幣.
1900/1/1 0:00:00來源:財聯社|區塊鏈日報 記者董宇佳 硅谷風險投資機構AndreessenHorowitz是市面上最活躍的加密領域投資者之一。2022年,a16z繼續在區塊鏈領域上加倍下注.
1900/1/1 0:00:00巴比特訊,2月24日上午,此前宣布于2月23日與蘇富比合作拍賣104枚CryptoPunks的收藏家0x650d于開拍前反悔,發文“不好意思,我決定HODL”,故導致拍賣取消.
1900/1/1 0:00:00據StateScoop2月2日消息,費城市長吉姆·肯尼(JimKenney)已經批準該市開始探索與CityCoin合作的可能.
1900/1/1 0:00:00