月亮链 月亮链
Ctrl+D收藏月亮链
首页 > USDC > 正文

FTX:猖獗黑客“薅”交易所羊毛?FTX交易所遭到Gas窃取攻击事件分析_MINUTE Vault (NFTX)

作者:

时间:1900/1/1 0:00:00

2022年10月13日,据据BeosinEagleEyeWeb3安全预警与监控平台的舆情消息,FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XENTOKEN。

金色财经邀请Beosin安全团队第一时间对事件进行了分析,结果如下:

1、事件相关信息

其中一部分攻击交易:

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

Globix清算人已获法院命令,将冻结其加密资产以寻找4300万美元:4月25日消息,已倒闭的加密交易所 Globix 的清算人已获得法院命令,将冻结 Globix 加密资产以迫使其交出客户信息,从而寻找 4300 万美元的失踪资金。法院已命令币安停止从几个与 Globix 相关的加密钱包中转移资产,还要求包括 Crypto.com、Bitstamp 和 Kraken 在内的交易所披露与 Globix 相关的某些加密钱包背后的身份。(金融时报)[2023/4/25 14:25:34]

其中一个攻击者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一个攻击合约0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻击地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX热钱包地址)

2023香港Web3嘉年华“Web3.0 Demo Day”公布首批16个入选项目:3月26日消息,由万向区块链实验室、HashKey Group联合主办,数码港作为支持单位的“Web3.0应用展示日(Demo Day)”分会场活动将于4月14日-15日香港Web3嘉年华活动期间在香港会议展览中心(Sub-stage1)举行,该活动由ETH VC和MetaWeb Ventures提供技术支持。

目前已确认加入的首批项目为0xScope、BCDEx、BlockSec、Chatpuppy、Coinsdo、Createra、dappOS、DeSchool、Gameland、Mail3、Opside、Pawnfi、PlutoStudio、Portkey、Voty、xBank,项目类型涵盖Web3基础设施、DeFi、社交媒体、游戏、公链等多条赛道。[2023/3/26 13:27:25]

2、攻击流程

知情人士:BlockFi计划裁员并申请破产保护:金色财经报道,知情人士透露,总部位于美国新泽西州泽西市的加密货币借贷平台BlockFi Inc.在停止提款并承认其对FTX有“重大风险敞口”后,正在准备进行裁员并申请破产保护。

此前报道,BlockFi上周暂停了其平台上的提款,称鉴于FTX的不确定性,它无法照常营业。BlockFi今年早些时候与FTX US签署了一项信贷协议,使其有权被收购。自FTX倒闭以来,BlockFi一直在努力维持业务运营,申请破产保护将使BlockFi成为SBF的加密帝国突然崩溃的最新受害者。[2022/11/16 13:10:14]

以其中一笔攻击交易为例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX热钱包地址会向攻击合约地址转入小额的资金,利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约,并且每次执行完子合约之后,子合约都会自毁,所以以下图为例部分展示。

IBMJapan、野村研究所等联合成立Pla-chain,将利用区块链解决塑料回收问题:10月17日消息,IBMJapan、三井化学、野村研究所联合成立以实现资源循环型社会为目的Pla-chain,致力于利用“RePLAYER区块链平台”解决塑料回收的各种问题,包括利用该共享示范实验信息,与多家公司举行研究会议,共享在联合体中获得的知识等信息,并与其他组织进行交流。[2022/10/17 17:28:45]

?第三步,接下来子合约fallback()函数去向Xen合约发起铸币请求,如下函数,claimRank()函数传入一个时间期限进行铸币,铸币条件是只用支付调用gas费,并无其他成本,并且claimMintRewardAndShare()函数为提取函数,该函数只判断是否达到时间期限,便可无条件提取到任何非零地址。但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址。

前三个步骤,重复多次,并且每次重复过程中都会将已到期的代币提取出来,并且同时发起新的铸币请求,黑客达成他的目标。

3、漏洞分析

本次攻击主要利用了FTX项目没有对接收方为合约地址进行任何限制,也没有对ETH的gasLimit进行限制,导致攻击可以利用合约来铸造XEN代币进行获利。截止发文时,Beosin安全团队通过BeosinTrace对被盗资金进行追踪分析,FTX交易所损失81ETH,黑客通过DODO,Uniswap将XENToken换成ETH转移。

BeosinTrace资金追踪图

4、事件总结

针对本次事件,Beosin安全团队建议:1.对钱包接收为合约的地址进行限制。2.对业务中存在gas风险的业务对gaslimit进行足够小的限制。

标签:FTXBLOCKWEBBLOMINUTE Vault (NFTX)blockchain的域名价值web3.0币怎么提现到账号blockchaintechnology怎么读

USDC热门资讯
加密货币:金色观察 | 哪些地区是加密税收天堂_全球十大加密货币

文/Maestro,M6LABSRESEARCH长期以来,葡萄牙一直是国际Crypto投资者的最佳目的地.

1900/1/1 0:00:00
SHO:新加坡不是“创业圣地”_HOP

文/周逸斐编辑/周晓奇如果说,以前国人喜欢去新加坡主要是为了旅游和购物,那么今年很明显变成,投资人和创业者们喜欢新加坡,是为了完成掘金新加坡、开拓海外市场的淘金梦.

1900/1/1 0:00:00
APT:金色观察 | Aptos现庐山面目:TPS仅有4 超80%代币供应由机构控制_aptos币价格

北京时间2022年10月18日凌晨,备受瞩目的新一代公链Aptos宣布主网上线。 随后,FTX、币安、HuobiGlobal、Coinbase等多家一线交易所均主动宣布上线Aptos代币APT.

1900/1/1 0:00:00
WEB:Web3里的七个潜力赛道_开发区块链数字货币

撰写:azf.ethWeb3的未来不仅仅只是PFP小图片、NFT市场、CEXs/DEXs和DeFi协议。Web3的未来不仅仅只是PFP小图片、NFT市场、CEXs/DEXs和DeFi协议.

1900/1/1 0:00:00
RBI:速览Arbitrum首届波哥大黑客松获奖项目_arb币价格今日行情

原文作者:Arbitrum原文编译:angelilu,ForesightNews在哥伦比亚波哥大举行的第一届Arbitrum黑客马拉松已经正式落下帷幕.

1900/1/1 0:00:00
APT:Aptos 之后 还有哪些潜在的大毛需要重点关注?_KEN

未来几个月,有哪些机会呢?撰文:五火球教主首先,这不是一篇教你撸毛的文。只是最近Aptos分发的Token再次暴富了一批人,于是乎,几乎被人遗忘的羊毛党又再度活跃了起来!但对于绝大多数人来说,结.

1900/1/1 0:00:00