FTX:猖獗黑客“薅”交易所羊毛？FTX交易所遭到Gas窃取攻击事件分析_MINUTE Vault (NFTX)

2022年10月13日，据据BeosinEagleEyeWeb3安全预警与监控平台的舆情消息，FTX交易所遭到gas窃取攻击，黑客利用FTX支付的gas费用铸造了大量XENTOKEN。

金色财经邀请Beosin安全团队第一时间对事件进行了分析，结果如下：

1、事件相关信息

其中一部分攻击交易：

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

Globix清算人已获法院命令，将冻结其加密资产以寻找4300万美元:4月25日消息，已倒闭的加密交易所 Globix 的清算人已获得法院命令，将冻结 Globix 加密资产以迫使其交出客户信息，从而寻找 4300 万美元的失踪资金。法院已命令币安停止从几个与 Globix 相关的加密钱包中转移资产，还要求包括 Crypto.com、Bitstamp 和 Kraken 在内的交易所披露与 Globix 相关的某些加密钱包背后的身份。（金融时报）[2023/4/25 14:25:34]

其中一个攻击者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一个攻击合约0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻击地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX热钱包地址)

2023香港Web3嘉年华“Web3.0 Demo Day”公布首批16个入选项目:3月26日消息，由万向区块链实验室、HashKey Group联合主办，数码港作为支持单位的“Web3.0应用展示日（Demo Day）”分会场活动将于4月14日-15日香港Web3嘉年华活动期间在香港会议展览中心（Sub-stage1）举行，该活动由ETH VC和MetaWeb Ventures提供技术支持。

目前已确认加入的首批项目为0xScope、BCDEx、BlockSec、Chatpuppy、Coinsdo、Createra、dappOS、DeSchool、Gameland、Mail3、Opside、Pawnfi、PlutoStudio、Portkey、Voty、xBank，项目类型涵盖Web3基础设施、DeFi、社交媒体、游戏、公链等多条赛道。[2023/3/26 13:27:25]

2、攻击流程

知情人士：BlockFi计划裁员并申请破产保护:金色财经报道，知情人士透露，总部位于美国新泽西州泽西市的加密货币借贷平台BlockFi Inc.在停止提款并承认其对FTX有“重大风险敞口”后，正在准备进行裁员并申请破产保护。

此前报道，BlockFi上周暂停了其平台上的提款，称鉴于FTX的不确定性，它无法照常营业。BlockFi今年早些时候与FTX US签署了一项信贷协议，使其有权被收购。自FTX倒闭以来，BlockFi一直在努力维持业务运营，申请破产保护将使BlockFi成为SBF的加密帝国突然崩溃的最新受害者。[2022/11/16 13:10:14]

以其中一笔攻击交易为例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步，攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步，FTX热钱包地址会向攻击合约地址转入小额的资金，利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约，并且每次执行完子合约之后，子合约都会自毁，所以以下图为例部分展示。

IBMJapan、野村研究所等联合成立Pla-chain，将利用区块链解决塑料回收问题:10月17日消息，IBMJapan、三井化学、野村研究所联合成立以实现资源循环型社会为目的Pla-chain，致力于利用“RePLAYER区块链平台”解决塑料回收的各种问题，包括利用该共享示范实验信息，与多家公司举行研究会议，共享在联合体中获得的知识等信息，并与其他组织进行交流。[2022/10/17 17:28:45]

?第三步，接下来子合约fallback()函数去向Xen合约发起铸币请求，如下函数，claimRank()函数传入一个时间期限进行铸币，铸币条件是只用支付调用gas费，并无其他成本，并且claimMintRewardAndShare()函数为提取函数，该函数只判断是否达到时间期限，便可无条件提取到任何非零地址。但在此次调用过程中，交易发起者为FTX热钱包地址，所以整个调用过程的gas都是由FTX热钱包地址所支付，而Xen铸币地址为攻击者地址。

前三个步骤，重复多次，并且每次重复过程中都会将已到期的代币提取出来，并且同时发起新的铸币请求，黑客达成他的目标。

3、漏洞分析

本次攻击主要利用了FTX项目没有对接收方为合约地址进行任何限制，也没有对ETH的gasLimit进行限制，导致攻击可以利用合约来铸造XEN代币进行获利。截止发文时，Beosin安全团队通过BeosinTrace对被盗资金进行追踪分析，FTX交易所损失81ETH，黑客通过DODO，Uniswap将XENToken换成ETH转移。

BeosinTrace资金追踪图

4、事件总结

针对本次事件，Beosin安全团队建议：1.对钱包接收为合约的地址进行限制。2.对业务中存在gas风险的业务对gaslimit进行足够小的限制。

标签：FTXBLOCKWEBBLOMINUTE Vault (NFTX)blockchain的域名价值web3.0币怎么提现到账号blockchaintechnology怎么读

USDC热门资讯