猖獗黑客“薅”交易所羊毛？FTX交易所遭到Gas竊取攻擊事件分析_FTX:SIN

2022年10月13日，據據Beosin EagleEye Web3安全預警與監控平臺的輿情消息，FTX交易所遭到gas竊取攻擊，黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。

金色財經邀請Beosin安全團隊第一時間對事件進行了分析，結果如下：

其中一部分攻擊交易：

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

創作者平臺Patreon在Payoneer系統出現問題后暫停支付:金色財經報道，將內容創作者與其支持者聯系起來的訂閱平臺Patreon表示，它已發現其Payoneer支付系統存在問題，并已暫時禁止向創作者支付。該問題于 8月2日首次被發現，加密開發人員監控主要平臺上的支付故障，該公司表示將在太平洋時間周四上午10點（北京時間時間凌晨1點）之前提供更新。[2023/8/4 16:17:17]

其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)

前OCC代理署長推測SEC和Ripple最終或就訴訟案達成和解:8月22日消息，前OCC代理署長Brian Brooks對SEC與Ripple訴訟案的最終可能結果進行預測。他認為，即使法官最終決定Ripple是否在2013年違反證券法，但雙方可能會就此事達成一致。SEC聲稱，Ripple在2013年的ICO違反美國證券監管規定。

Brooks補充說，如果雙方達成和解，將允許投資者繼續在美國交易XRP。他還表示，雙方將試圖根據2013年XRP代幣分配情況來解決這一問題。Brooks解釋說，資產在特定時間的性質以及分配是不同的。

他認為爭論的焦點將集中在2013年XRP代幣的分配上。當時XRP代幣的分配將決定XRP是否是一種證券。這是法院作出判決的基礎。XRP如今是否仍然是一種證券是不確定的。根據美國SEC的說法，資產的性質會隨著時間的推移而改變，因為它們實現了去中心化和實用性。他進一步表示，雙方將根據2013年代幣的分配情況達成一致。（Crypto News Flash）[2022/8/22 12:41:18]

以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步，攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步，FTX熱錢包地址會向攻擊合約地址轉入小額的資金，利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約，并且每次執行完子合約之后，子合約都會自毀，所以以下圖為例部分展示。

Interplay推出區塊鏈基金，將重點投資Web 3等領域:金色財經報道，總部位于紐約市的Interplay創始人兼管理合伙人 Mark Peter Davis表示，公司正推出區塊鏈基金，該基金將投資于早期創業公司、代幣、特殊情況和web3中的其他戰略。 該公司的目標是籌集1000萬美元，目前正在與投資者進行對話。

Davis稱，該公司正在推出 Interplay Blockchain 作為一個獨立的垂直領域，與現有的風險投資部門分開，后者對整個科技行業的 B 輪公司進行種子投資。雖然此次發布標志著 Interplay 首次涉足 web3 領域，但風險投資部門參與了 Coinbase 的 A 輪融資，并幫助孵化了加密領域的保險產品。[2022/7/27 2:39:23]

英國FCA任命國家經濟犯罪指揮部主管為支付和數字資產主管:7月5日消息，英國金融行為監管局（FCA）任命國家經濟犯罪中心（National Economic Crime Command）主管 Matthew Long 為支付和數字資產主管。此前報道，支付和數字資產主管是新設崗位，將監督數字貨幣、支付和加密資產市場，并領導相關政策制定。據悉，Matthew Long 于 2021 年 10 月加入 FCA，此前負責打擊經濟犯罪和非法金融。（The Block）[2022/7/5 1:52:35]

 第三步，接下來子合約fallback()函數去向Xen合約發起鑄幣請求，如下函數，claimRank()函數傳入一個時間期限（最小1天）進行鑄幣，鑄幣條件是只用支付調用gas費，并無其他成本，并且claimMintRewardAndShare()函數為提取函數，該函數只判斷是否達到時間期限（本次黑客設置的時間期限為最小值1天），便可無條件提取到任何非零地址。但在此次調用過程中，交易發起者為FTX熱錢包地址，所以整個調用過程的gas都是由FTX熱錢包地址所支付，而Xen鑄幣地址為攻擊者地址。

前三個步驟，重復多次，并且每次重復過程中都會將已到期的代幣提取出來，并且同時發起新的鑄幣請求，黑客達成他的目標。

本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制，也沒有對ETH的gas Limit進行限制，導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時，Beosin安全團隊通過Beosin Trace對被盜資金進行追蹤分析，FTX交易所損失81ETH，黑客通過DODO，Uniswap將XEN Token換成ETH轉移。

Beosin Trace資金追蹤圖

針對本次事件，Beosin安全團隊建議：1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gas limit進行足夠小的限制。

Beosin

企業專欄

閱讀更多

白話區塊鏈

金色財經Maxwell

NFT中文社區

CoinDesk中文

達瓴智庫

去中心化金融社區

金色薦讀

肖颯lawyer

CT中文

ETH中文

ForesightNews

Tags：FTXSINGASEOSBAYC Vault (NFTX)BUSINESSES幣MEGASHIBLEOS幣

pepe最新價格