被朋友Q到近期火热的羊毛事件,截止目前,不仅是黑客获利超20W刀,FTX损失108个ETH,合计有38名同样思路的攻击者部署合约发起攻击。
本文从技术维度出发,深入分析此利用FTX交易所免手续费提币的漏洞,结合智能合约回调发起的攻击方式,并通过样例代码复现实现原理。
由于FTX已经通过人工审计针对攻击者进行惩罚,该漏洞处于风险可控阶段。切勿尝试可能导致封号没收质押物。
1.1XEN是什么?
是近期大火的一个XEN币,到10-15为止已有超过120W笔交易,其实笔者对这类缺乏长期价值对Web3毫无建设性意义的项目一直没什么兴趣,因为他的机制就是只要发起的交易消耗了多少的GAS,就可以铸造出一定数量的XEN币,而众所周知Etherscan有针对gas消耗的排行榜
动态 | 肖磊解读特朗普“攻击”Libra原因:Libra没有明确跟美元挂钩:7月13日消息,财经专栏作家、财经评论员肖磊解读特朗普“攻击”Libra原因,他认为特朗普说Libra不可靠,而且需要获得一张银行牌照,接受监管。其实这里隐含的意思是,Libra没有明确跟美元挂钩,所以不可靠,没有美国监管机构的批准,就不能干金融的业务。[2019/7/13]
可以看到真正出色的项目往往由于服务用户多交易量大,所以gas消耗高排名靠前,仿佛成了另一种的应用商店热门榜单,而XEN一举通过“冲票“成了冠绝以太坊整个生态的Top1,且等于其他好项目的总和。
可拓展阅读:当我们在看Etherscan的时候,到底在看什么?
动态 | 区块链技术助力共建中国人群基因变异解读标准数据库发布:据央广网消息,5月27日,“区块链技术助力共建中国人群基因变异解读标准数据库”在2019数博会“生命大数据高峰论坛”上发布。华大集团大数据中心副主任杨梦表示,数据库的建立必须满足可公开、可溯源、不可篡改、迭代更新、临床信息溯源、符合伦理法规等条件,而利用区块链技术可以实现账本公开、所有历史信息留痕、哈希摘要上链、分布式共识、私有数据存证、细颗粒度权限控制等。[2019/5/28]
钱包单笔转移gas消耗大于5W,且to地址是合约地址的交易。
下图为其中top10的攻击者,其交易数占总攻击数的80%,致使FTX手续费损失86个ETH
分析 | 肖飒律师解读五部门风险提示:今日,大成律师事务所律师肖飒在其个人公众号上发文,解读银保监会等五部门共同发布的《关于防范以\"虚拟货币\"\"区块链\"名义进行非法集资的风险提示》。肖飒表示,风险提示中明确提出\"代为投资,极可能是活动\"。这句话具有重要的现实立案价值。这就意味着,ETH等也有望成为罪的犯罪对象,而不仅仅是2013年被定性的特定的虚拟商品一比特币。也就是说,未来罪立案的范围可能会较大幅度扩大,保护的范围也在扩大。[2018/8/27]
笔者通过对其交易的gas消耗总值核算后,得出FTX本次损失总值为:108.19个ETH
合计铸造出XEN约24亿个。按14号日常价格估算的话,则黑客总收益在24W美金以上
声音 | EOS pacific创始人解读EOS宪法2.0:删减多条目是为仲裁机构减轻压力:今天,EOS pacific创始人王栋在引力生态峰会上表示,BM推出的宪法2.0版最核心的有以下几个方面:
1、CODE IS LAW。所有的法律都应代码化,即使代码有BUG。
2、BM进一步诠释合约,把整个合约清晰定义。如果各方理解有不同,才需要仲裁员出现。仲裁机制主要的工作范围已经大幅度缩小。
3、私钥的丢失是个人的责任,不是通过仲裁可以解决的问题。
4、在智能合约定义的范围内,仲裁能冷冻Token的转移。
王栋还表示,EOS宪法从1.0版的20条减到9条,把很多东西去掉,就是让Token不要根据自己对宪法的理解套用自己的情形,无限的给仲裁机构施加压力。[2018/7/15]
详细数据可<十四君>公众号后台输入”FTX与XEN”获得
2.1核心原理
智能合约的fallback/receive可任意执行逻辑。
任何一个合约都有默认的fallback函数,典型的功能就是让合约可以接收以太币并对其做出反应,这也是代币型合约用来拒绝转账、发出事件或转发以太币的典型模式。后来更多场景是应用在代理升级模式
总之就是,一笔指向合约地址的交易,如果没有匹配到对应执行的函数,就必然会执行fallback函数,而fallback可以将输入参数指向另一个合约地址,从而执行对应的逻辑。
参考:https://blog.soliditylang.org/2020/03/26/fallback-receive-split/
黑客先部署了一个攻击合约0xCba9b1
然后利用FTX的交易免费提币功能
让FTX的热钱包0xc098b2,发起了一笔指向攻击合约的提币
导致交易触发指向XEN合约的Mint函数调用
由于XEN合约可以设置Mint出代币的收益方,从而将代币转入黑客地址
2.3手法还原
其实任意fallback非常好触发,咱们通过现场手搓实现下,当然并不是MintXen,而是临时随意的一个20token来示意。
下文便是最简单的一个ERC20代币了,任何人均可执行mint函数,雷同于XEN了
对于ERC20/721实现原理可拓展阅读:你买的NFT到底是什么?
而攻击合约也很简单,设置写死要调用Mint的XEN合约地址以及黑客收益的地址。
可以看到实验中,对此攻击合约发起的任意一笔交易,即会触发了receive,且myAddr的GLD余额增加1e18个,当然并不能拿着这个代码就去复现黑客的实现了,因为要铸造更多的GEX还得增加工厂合约部署的逻辑,即能提高gas消耗也吻合XEG的mint管理。
3、总结-从攻击事件看“元交易”
其实如果不是黑客本身知道FTX有免费提币优惠,且其提币的交易的gasLimit设置为固定值50W,则很难发起这样的攻击,因为依据以太坊黄皮书,普通转账也仅仅需要2.1W的gas即可。
黑暗森林的web里知其雄守其雌,这样的攻击从历史进程来看,其实更有警示性意义
笔者想谈谈元交易的发展
元交易是来自于ChristianLundkvist教授在2015年的一个设想
如今上手Dapp实在是太麻烦了,以太坊生态若想普及,就应该允许新用户直接使用其功能,而不是先安排几座大山让用户翻山越岭。这意味着需要为新来的用户垫付Gas费用。当前的以太坊协议并没有提供原生方法来实现这一点。然而,得益于公/私密钥对,用户可以通过对元交易进行签名并证明所有权。
相信未来元交易终会成为应用主流,本次的FTX代付gas执行免费提币转账还只是元交易的某种小小实现,但只有安全无感才能迎接全民低成本上链时代的到来,为此安全与风控都需要特别注意,这也是笔者分析安全案件的初衷。
欢迎你从后台提交web3行业问题探讨
点赞关注十四,用技术视角带给你价值
ForesightNews消息,据CoinDesk报道,加密货币侦探ZachXBT在巴黎起诉5名人员涉嫌参与NFT项目BoredApeYachtClub(BAYC)相关的网络钓鱼局.
1900/1/1 0:00:00親愛的AAX用戶們:AAX將於2022年10月17日17:00推出STSR的充提服務:立即充值AAX將於2022年10月18日14:00推出STSR/USDT的現貨交易對:立即交易STSR官網:.
1900/1/1 0:00:0010月7日,多米尼克政府官方发布公告,正式宣布波场TRON作为该国指定国家级区块链基础设施,以构建一个更具包容性和多样化的经济体系。这是区块链行业首次与主权国家达成的最高级别的合作.
1900/1/1 0:00:00周五(10月14日),SLRVRibbons和SLRVRatio都表明,BTC可能会从最终投降前的19,600美元水平进一步下跌。确定比特币表现的最常用的链上指标之一是其长期持有者的行为.
1900/1/1 0:00:00比特币下半年将跑赢所有金融产品,彭博首席分析师麦克格隆提出的展望,让币圈投资者重新提振精神,看向10月比特币是否能成为这场加密寒冬的尾声.
1900/1/1 0:00:00一位市场分析师表示,以太坊可能会开始加密市场历史上最大的牛市之一。过去几天,以太币的价格一直在盘整.
1900/1/1 0:00:00