我们知道最近有个火爆的token,叫做XEN,只需要付出gas费就能铸造大量代币,那有没有办法让别人替我们支付gas费呢,最近就有一个黑客正在让FTX帮他付钱。
漏洞原理:
攻击准备阶段:
10月10日,攻击者0x1d371CF00038421d6e57CFc31EEff7A09d4B8760在链上部署了攻击合约
攻击阶段:
FTX交易所出金热钱包地址向攻击合约连续进行0.0035ETH左右的小额ETH转账,如下图所示:
工信部任爱光:“元宇宙热”回归理性,正是行业务实发展好时机:近日,在中国信通院主办的“元宇宙创新探索论坛“上,工业和信息化部科技司副司长任爱光在致辞中指出,历经一年的发展,业界对元宇宙发展热情逐步回归理性,而这正是务实推动行业发展的好时机。
任爱光表示,元宇宙是5G、人工智能、区块链、虚拟现实等新一代信息技术融合创新的集大成应用,能够深度融合数字空间和物理世界,有望催生出一批新产品、新模式、新业态,是具备高增长潜力的未来产业。工信部一方面加强顶层设计,加快谋划元宇宙产业发展,通过“揭榜挂帅”、建设先导区、标准建设、技术攻关等方式,推动人工智能、区块链、虚拟现实等元宇宙技术创新,夯实产业发展根基。另一方面,加快凝聚共识,支持世界人工智能大会、世界数字经济大会、世界VR产业,增设元宇宙议题,汇聚各方力量,加强产业协作。(新京报)[2023/1/18 11:18:05]
进一步查看交易详情,每次交易攻击合约均创建了1~3个子合约,这些子合约先进行XENToken的Mint或Claim。最终这些合约会自我销毁。这些操作都由FTX热钱包地址支付gas费。
Web3合规公司Satschel完成520万美元的种子轮融资:金色财经报道,Web3合规公司Satschel已经筹集了520万美元的种子轮融资,由早期风险投资公司Brand Foundry Ventures领投。
该种子轮融资是在Satschel宣布与特殊用途车辆(SPV)金融科技公司Assure建立合作伙伴关系的几天后完成的。[2022/9/16 7:01:40]
Acala社区新提案拟将12.88亿不当获得的aUSD进行销毁:8月15日消息,Acala社区今日发起公投新提案,拟将12.88亿不当获得的aUSD进行销毁。据称,为帮助解决铸币错误、恢复aUSD挂钩并恢复Acala运营,该提案希望针对以下问题进行全民投票:
1.错误铸造的1,288,561,129aUSD留在这16个账户上的aUSD被退回到honzon协议以被有效销毁;
2.iBTC/aUSD奖励池中剩余的4,299,119个错误铸造的aUSD将返回到honzon协议进行有效销毁。
由于情况紧急,一旦提案得到验证,提案人要求快速跟踪,以便尽快解决错误。[2022/8/15 12:26:43]
SpaceChain完成EVM区块链在太空的测试:金色财经消息,SpaceChain今天宣布完成其为Velas Network AG创建的空间节点的测试,该节点托管在一颗低地轨道卫星上,独立于地面网络。该空间节点现在能够提供为Velas设计的全部功能,包括交易签名、智能合约部署、去中心化金融(Defi)活动和不可伪造代币(NFT)的铸造,以及Velas代币(VLX)交易。 (prnewswire)[2022/7/12 2:06:48]
攻击损失:
截止目前,FTX交易所因为GAS窃取漏洞共损失了81+ETH,黑客地址已获得超过1亿个XENToken,并通过DoDo,Uniswap等去中心化交易所将部分XEN代币换成61个ETH,并入金到FTX以及Binance交易所。
我们对该攻击进行了链上监控,目前仅感知到FTX交易所面临此类攻击。然而针对FTX的GAS窃取攻击仍在进行中。以下为攻击者部署的合约地址:
0xcba9b1fd69626932c704dac4cb58c29244a47fd3
0x6a6474d79536c347d6df1e5f1ce9be12613a13c6
0x51125a7d015eddc3dbef138a39ba091863d1f155
0x6438162e69037c452e8af5d6ae70db1515324a3d
0xb69d4de5991fa3ded39c27ed88934a106f0af19e
0x8b2550add3c5067ca7c03b84e1e37b14b35aa1e5
0x2e1891de1e334407fafaab09ac545bb9e4099833
0xebe5cccc75b4ec5d6d8c7a3a8cee0d8c0e821584
0xcf0da9cea8403ff1e3ed6db93f3badc885c24522
0x524db09476bb87b581e1c95fbf37383661d1829a
0x1afd71464dd7485f8b3cea7c658c6a1e2b3e77a4
0xfc3ee819f873050f7f3bbce8b34ba9df4c44b5d0
0xb6bdf9eb331d0109dd3ba1018f119c59341fbb40
0x8e2b77c3c8d6e908aea789864e36a07bea1aaf58
0x46666a93b1f83b4c475b870dc67dc0dbd8a16607
0x15e5bf7f142ffa6f5eb7e1a30725603c97c2d0d6
0x6845eebc315109a770dcc7a43ed347405a82e94b
漏洞分析:
FTX钱包安全:既没有对接收方地址为合约地址进行任何限制。也没有对ETH原生Token的转账GASLimit进行限制,而是采用estimateGas方法评估手续费,这种方法导致GASLIMIT大部分为500,000,超出默认21,000值的24倍。FTX出金安全:从FTX出金热钱包地址的出金中存在大量相同出金地址的小额转账。为明显出金异常事件。
FTX业务安全:FTX提币免手续费,给攻击者零成本窃取带来极大便利。
ETH里斯本黑客马拉松,包括97个项目、352黑客以及14.8万美元的奖金。前10名项目如下: 元宇宙初创公司Hadean任命前亚马逊高管为CTO:金色财经报道,元宇宙初创公司Hadean任命R.
1900/1/1 0:00:00当你在上网的时候,你是谁?随着我们在网上花费越来越多的时间时,这个问题就更加重要了。在过去的十年中,互联网的使用量增加了一倍多。对于Z世代来说,这个数字甚至更大.
1900/1/1 0:00:00笔者是?Meson?团队的智能合约核心工程师,过去几个月一直在高强度的开发Aptos合约。最近两天,终于赶在Aptos主网上线之际,完成了Meson协议在Aptos上的开发,这个过程中还是有挺多.
1900/1/1 0:00:00随着Aptos主网上线,空投暂时告一段落,其生态也开始进入崛起时期。作为一条“一切设计以资产为中心”的公链,Aptos上的DeFi即将迎来大考.
1900/1/1 0:00:00空投的逻辑发币之前,空投是项目方吸引用户的筹码。发币时,是项目方“免费”打造的一场营销。从目前较少的样本数进行不严谨统计来看,大方的项目方往往自身实力背景强劲,空投后代币的价格也多有不错的表现.
1900/1/1 0:00:0010月19日,由工业和信息化部、财政部共同指导举办的第七届“创客中国”中小企业创新创业大赛500强名单对外公布。其中区块链专题赛部分有8个项目入围该名单.
1900/1/1 0:00:00