以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > Fil > Info

SIN:猖獗黑客“薅”交易所羊毛?FTX交易所遭到Gas竊取攻擊事件分析

Author:

Time:1900/1/1 0:00:00

2022年10月13日,據據Beosin EagleEye Web3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。

金色財經邀請Beosin安全團隊第一時間對事件進行了分析,結果如下:

其中一部分攻擊交易:

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

980枚BTC從Gate.io轉移到未知錢包:金色財經報道,據Whale Alert監測,1小時22分前有980枚BTC(約24,514,487美元)從Gate.io轉移到未知錢包。[2023/6/15 21:38:43]

其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)

以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀,所以以下圖為例部分展示。

Bit Digital2023年第一季度賺取362個比特幣:金色財經報道,數字資產礦業公司Bit Digital,Inc.公布了其未經審計的第一季度財務業績截至2023年3月31日。截至2023年3月31日,公司擁有現金、現金等價物和受限制現金2920萬美元,總流動性(定義為現金等價物和受限制現金、USDC以及數字資產的公平市場價值)約為7130萬美元。總資產為9220萬美元。截至2023年3月31日,股東權益為8700萬美元。公司在本季度賺取了362.0個比特幣。分別在原生質押和Portara流動性質押中賺取8.7ETH和23.0rETH-h。BTC和ETH的持有量分別為724.8和9,136.2,公允市值分別約為2060萬美元和1660萬美元。[2023/6/14 21:35:11]

SEC對幣安和趙長鵬提出13項指控,包括客戶資金處理不當等:金色財經報道,美國證券交易委員會(SEC)對幣安和趙長鵬提出 13 項指控,包括客戶資金處理不當以及對監管機構和投資者謊報了其運營情況等。SEC 表示,幣安一直在混合數十億美元的客戶資金,并秘密將其轉移到由趙長鵬控制的一家獨立公司。此外,幣安在其系統是否足以檢測和控制操縱交易行為上誤導了投資者。SEC 還表示,幣安沒有采取足夠的措施來限制美國投資者使用不受監管的交易所。[2023/6/6 21:17:47]

 第三步,接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限(最小1天)進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintRewardAndShare()函數為提取函數,該函數只判斷是否達到時間期限(本次黑客設置的時間期限為最小值1天),便可無條件提取到任何非零地址。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。

SHIB鏈上持有者總數已超過120萬:7月13日消息,Watcher.Guru發推稱,Shiba Inu(SHIB)鏈上持有者總數已超過120萬名。[2022/7/13 2:10:13]

前三個步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求,黑客達成他的目標。

本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制,也沒有對ETH的gas Limit進行限制,導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時,Beosin安全團隊通過Beosin Trace對被盜資金進行追蹤分析,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XEN Token換成ETH轉移。

Beosin Trace資金追蹤圖

針對本次事件,Beosin安全團隊建議:1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gas limit進行足夠小的限制。

Beosin

企業專欄

閱讀更多

白話區塊鏈

金色財經Maxwell

NFT中文社區

CoinDesk中文

達瓴智庫

去中心化金融社區

金色薦讀

肖颯lawyer

CT中文

ETH中文

ForesightNews

Tags:FTXEOSETHSINHDPUNK Vault (NFTX)IEOs Wintogetherbnb游戲v1.0.0SIN幣

Fil
ETH:NFTFi終極指南:如何為NFT所有者開辟金融化的世界?

NFTFi 是去中心化金融(DeFi)和 NFTs 的交集。這個新領域為收藏家們解鎖了一系列操作行動:以你的 NFT 為抵押進行貸款。以 3 個月分期付款的方式支付 NFT.

1900/1/1 0:00:00
BSP:金色觀察 | 不制裁Tornado 如何打擊Tornado上的洗錢

文/JP Koning,Moneyness美國當局不應該制裁代碼,而應針對人這一中間角色。 美國政府是否有比其最終采用的方式更好的辦法,打擊Tornado Cash上的犯罪活.

1900/1/1 0:00:00
比特幣:比特幣運營商們已經徹底背叛了中本聰和他的宣言

來源:老雅痞 FBI前局長稱區塊鏈比紙幣更容易追蹤。比特幣已經失敗。加密貨幣和DeFi平臺現在比傳統銀行更容易受到隱私泄露和黑客攻擊.

1900/1/1 0:00:00
CSC:美證監會主席:多數加密代幣是證券 法律有明確規定

FX168財經報社(香港)訊 美國證監會主席根斯勒重申,多數加密代幣都是證券,并強調“法律對此有明確規定”.

1900/1/1 0:00:00
THE:NFT的核心價值到底是什么?好戲還在后頭

Ari Juels是紐約康奈爾大學的教授,也是IC3的聯合董事。另外,他還是Chainlink Labs的首席科學家.

1900/1/1 0:00:00
CSD:上海海事法院推出《區塊鏈證據審查指南》

近日,上海海事法院召開“區塊鏈技術應用對海事司法的影響與服務保障需求”專題研討會,推出《區塊鏈證據審查指南》,并對編制背景和主要內容進行了發布和解讀.

1900/1/1 0:00:00
ads