加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > FTX > Info

猖獗黑客“薅”交易所羊毛?FTX交易所遭到Gas竊取攻擊事件分析_FTX:GAS

Author:

Time:1900/1/1 0:00:00

2022年10月13日,據據BeosinEagleEyeWeb3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。

金色財經邀請Beosin安全團隊第一時間對事件進行了分析,結果如下:

1、事件相關信息

其中一部分攻擊交易:

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

Robinhood官方:將向SOL、MATIC和ADA用戶發送提幣說明,繼續倡導美國監管清晰:金色財經報道,股票和加密貨幣交易平臺Robinhood官推發布聲明,針對停止對Solana (SOL)、Polygon (MATIC) 和 Cardano (ADA) 的支持,該平臺將向所有持有這三種資產的用戶發送出售和/或提幣的詳細說明。Robinhood強調相信加密貨幣行業未來,并將持續倡導美國監管清晰,以便用戶可以更有信心地參與市場。[2023/6/10 21:28:08]

其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)

CertiK:Push Protocol項目Discord服務器已被入侵:金色財經消息,據CertiK監測,Push Protocol項目Discord服務器已被入侵,有黑客發布釣魚鏈接。在團隊確認已重獲對服務器的控制之前,請勿點擊任何鏈接。[2023/5/30 11:47:40]

2、攻擊流程

以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀,所以以下圖為例部分展示。

摩根大通:將成立支付創新實驗室圍繞其區塊鏈子公司Onyx開展產品研發:11月11日消息,摩根大通周五表示,計劃在希臘雅典開設一個新的支付創新實驗室,該實驗室最初將招聘約50名員工,現有的一些投行和資管業務員工也將搬到新辦公室。

據悉,該實驗室計劃圍繞著摩根大通的Onyx和區塊鏈產品開展工作,聚焦于分布式賬本技術、人工智能和與支付系統相關的密碼學等領域。(MarketWatch)[2022/11/11 12:52:24]

比特幣全網全網算力為205.18EH/s:金色財經報道,BTC.com數據顯示,目前比特幣全網未確認交易數量為4084筆,全網算力為205.18EH/s,24小時交易速率為2.64交易/秒,目前全網難度為29.15T,預測下次難度上調0.82%至29.39T,距離調整還剩10天2小時。[2022/7/11 2:03:58]

?第三步,接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintRewardAndShare()函數為提取函數,該函數只判斷是否達到時間期限,便可無條件提取到任何非零地址。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。

前三個步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求,黑客達成他的目標。

3、漏洞分析

本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制,也沒有對ETH的gasLimit進行限制,導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時,Beosin安全團隊通過BeosinTrace對被盜資金進行追蹤分析,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XENToken換成ETH轉移。

BeosinTrace資金追蹤圖

4、事件總結

針對本次事件,Beosin安全團隊建議:1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gaslimit進行足夠小的限制。

Tags:FTXGASSINEOSCoinbase Pre-IPO tokenized stock FTXGASC幣sinoc幣未來能漲多少倍NeosCoin

FTX
網絡上線2周年:創始團隊帶你讀懂Conflux_WEB:conflux幣價

在加密行業很多人都認可一個說法,“華人擅長應用,歐美人擅長協議”。的確,在加密基礎設施L1層公鏈風起云涌的過去幾年,華人主創的公鏈確實屈指可數。但這絕不代表華人主導的公鏈在公鏈領域沒有一席之地.

1900/1/1 0:00:00
盤點 2022 年 TOP 12 的 Web3 域名注冊平臺_區塊鏈:WEB3

互聯網已經存在了幾十年。如今的互聯網生態始于Web1時代,在那個時代,軟件開發人員和內容創建者組成的小團體創建了用戶可以檢索和訪問信息的網站.

1900/1/1 0:00:00
a16z 在最糟糕的時候 All in 加密貨幣_加密貨幣:coin98幣前景

撰文:BerberJin編譯:Blockunicorn 圖片來源:由無界版圖AI工具生成隨著去年加密貨幣價格的飆升,沒有任何投資者比AndreessenHorowitz對該行業投入更多.

1900/1/1 0:00:00
金色早報 | 馬斯克可能為推特帶來更多的加密貨幣_加密貨幣:加密貨幣市場行情走勢最新

頭條 ▌彭博社:馬斯克可能為推特帶來更多的加密貨幣金色財經報道,彭博社今天提出幾個看法,馬斯克與加密貨幣的關系一直很復雜,他可能會將更多的加密貨幣引入推特,包括使用區塊鏈來減少機器人的存在.

1900/1/1 0:00:00
Web3 入坑第一站 加密貨幣法幣出入金商業_中心化交易所:ATMSSFT幣

闡述區分出入金項目的主要因素,并梳理七類現有出入金項目。撰文:Steve@ForesightVentures用法定貨幣購買加密貨幣是大多數用戶進入Web3世界的第一站,無論是通過中心化的交易所還.

1900/1/1 0:00:00
Be VEE:韓國藝術家的 Free Mint 與 NFT 流量變現嘗試_VEE:SBLAND Vault (NFTX)

作者|Carol(Twitter:@CC99Carol) 編輯|ColinWu 摘要: 近期,新興NFT項目BeVEE逐漸展露頭角,其創作者RDR嘗試探尋一條完整的藝術流量變現道路.

1900/1/1 0:00:00
ads