前言
北京时间2022年2月14日晚,Titano Finance遭到攻击,损失3200万TITANO代币。知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。
分析
基础分析
攻击者地址:0xad9217e427ed9df8a89e582601a8614fd4f74563
攻击者创建合约 MultipleWinnersProxyFactory :0x940151f5bbbcda5b1b482592d816e96f80d6073a
攻击者创建合约 MultipleWinnersBuilder :0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a
攻击者创建合约 MultipleWinners :0x49d078d25b08f2731cbf5af8e8cdf1ea3e0a2046
官方合约 StakePrizePool :0x4d7f0a96967dce1e36dd2fbb131625bbd9106442
漏洞分析
此次事件,漏洞关键在于官方 StakePrizePool 合约中的 setPrizeStrategy 方法被攻击者所利用,但该方法只有管理员才有权限进行操作。