火星链 火星链
Ctrl+D收藏火星链
首页 > MATIC > 正文

FTX:猖獗黑客“薅”交易所羊毛?FTX交易所遭到Gas窃取攻击事件分析

作者:

时间:1900/1/1 0:00:00

2022年10月13日,据据BeosinEagleEyeWeb3安全预警与监控平台的舆情消息,FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XENTOKEN。

金色财经邀请Beosin安全团队第一时间对事件进行了分析,结果如下:

1、事件相关信息

其中一部分攻击交易:

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

CZ:我们不应该相信Twitter内部人士发布的阴谋论:金色财经报道,币安首席执行官CZ警告称,我们不应该相信 Twitter内部人士发布的叙述,我们不应该听信Binance FUD、Robinhood FUD和其他人在 Twitter 上到处冒出来的阴谋论。[2023/6/11 21:29:10]

其中一个攻击者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一个攻击合约0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻击地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX热钱包地址)

2、攻击流程

以其中一笔攻击交易为例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX热钱包地址会向攻击合约地址转入小额的资金,利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约,并且每次执行完子合约之后,子合约都会自毁,所以以下图为例部分展示。

Animoca Brands与日本加密交易平台Coincheck达成战略伙伴关系:10月4日消息,Animoca Brands已与日本加密货币交易平台Coincheck达成战略伙伴关系,Animoca Brands将作为区块链游戏制作商负责IP和内容开发,而Coincheck将在日本市场担任分销和社区开发的角色,双方还将为创作者和用户创建社区。

目前,两个NFT项目已经在Coincheck NFT市场上线分别是The Sandbox中的LAND NFT和Otherside中虚拟地产Otherdeed NFT。[2022/10/4 18:39:00]

Roblox:计划今年晚些时候测试沉浸式广告系统,并通过该系统获利:金色财经报道,Roblox首席执行官兼联合创始人David Baszucki证实,该公司计划在今年晚些时候测试沉浸式广告系统,因为它倾向于寻找通过该平台获利的新方法。

周二,该公司报告第二季度收入为5.912亿美元,同比增长30%,但预订量下降了4%。[2022/8/10 12:16:29]

?第三步,接下来子合约fallback()函数去向Xen合约发起铸币请求,如下函数,claimRank()函数传入一个时间期限进行铸币,铸币条件是只用支付调用gas费,并无其他成本,并且claimMintRewardAndShare()函数为提取函数,该函数只判断是否达到时间期限,便可无条件提取到任何非零地址。但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址。

美国向数家日本公司发出信函要求对方停止在俄罗斯伊尔库茨克州的加密货币挖矿业务:7月8日消息,英国《金融时报》援引消息人士的话报道,美国向数家日本公司发出信函,要求对方停止在俄罗斯伊尔库茨克州的加密货币挖矿业务。[2022/7/8 2:00:39]

前三个步骤,重复多次,并且每次重复过程中都会将已到期的代币提取出来,并且同时发起新的铸币请求,黑客达成他的目标。

3、漏洞分析

本次攻击主要利用了FTX项目没有对接收方为合约地址进行任何限制,也没有对ETH的gasLimit进行限制,导致攻击可以利用合约来铸造XEN代币进行获利。截止发文时,Beosin安全团队通过BeosinTrace对被盗资金进行追踪分析,FTX交易所损失81ETH,黑客通过DODO,Uniswap将XENToken换成ETH转移。

BeosinTrace资金追踪图

4、事件总结

针对本次事件,Beosin安全团队建议:1.对钱包接收为合约的地址进行限制。2.对业务中存在gas风险的业务对gaslimit进行足够小的限制。

标签:FTXGASANDSINBAKC Vault (NFTX)MegaShiboX InuLand of Fantasysinoc币价

MATIC热门资讯
MAN:金色观察 | 史上最强“怨种”?Mango遭遇黑客“盗”“DAO”双击

10月12日,Mango遭到了黑客的攻击,Mango在此次攻击损失总计约1.16亿美元,除此之外,Mango还遭受了黑客的另类攻击,通过提案来对Mango进行攻击.

1900/1/1 0:00:00
YDR:金色Web3.0日报 | 推特正式宣布测试NFT磁吸功能NFTTweetTiles

DeFi数据1、DeFi代币总市值:460.5亿美元 DeFi总市值及前十代币数据来源:coingecko2、过去24小时去中心化交易所的交易量29.

1900/1/1 0:00:00
区块链:什么是生成艺术NFT 它会是NFT市场下一个投资风向吗?

来源:compass作者:Goodness一种新的艺术形式正在兴起——生成艺术NFT。当然,生成艺术并非全新的事物,它们在20世纪60年代就已经存在了.

1900/1/1 0:00:00
COI:比特币的新里程碑 被低估的闪电网络

据1ML网站统计数据显示,比特币闪电网络锁定的比特币数量已突破5000枚,价值约9366万美元。此外,当前闪电网络节点数据为17700,通道数量为85983.

1900/1/1 0:00:00
UPS:浅谈Zk和Optimistic Rollups:原理、区别和前景

如何理解Zk和OptimisticRollups的前景和区别? 撰写:Salazar.eth推文编译:深潮TechFlow人们说,如果能有一个更新,能将ETHL1的TPS提高100倍.

1900/1/1 0:00:00
加密货币:宏观拐点何时到来?从美国CPI和中期选举分析

原文:《宏观与通胀叙事下,我们正处在市场的哪一阶段?》作者:JerryShang流动性匮乏的市场,正在等待美联储的信号.

1900/1/1 0:00:00