SIN:猖獗黑客“薅”交易所羊毛？FTX交易所遭到Gas竊取攻擊事件分析

2022年10月13日，據據BeosinEagleEyeWeb3安全預警與監控平臺的輿情消息，FTX交易所遭到gas竊取攻擊，黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。

金色財經邀請Beosin安全團隊第一時間對事件進行了分析，結果如下：

1、事件相關信息

其中一部分攻擊交易：

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

Bybit推出萬事達卡支持的加密借記卡:金色財經報道，Bybit將推出一種新的借記卡產品，允許用戶使用加密貨幣進行支付和提現。該Bybit卡將在萬事達卡網絡上運行，并將允許在用于支付商品和服務時通過扣除加密貨幣余額進行基于法幣的交易。該服務首先推出了在線購物的免費虛擬卡，實體借記卡將于2023年4月推出。

該服務將與用戶賬戶上的BTC、ETH、USDT、USDC和XRP余額一起使用。支付將自動將這些初始加密貨幣的余額轉換為歐元或英鎊，具體取決于用戶的居住地。

此前消息，由于合作伙伴的服務中斷，Bybit已暫停了通過銀行支付的美元儲值，不再可用通過電匯（SWIFT）和電匯（美國銀行）的美元儲值。Bybit未在公告中透露銀行合作伙伴是否是Silvergate。（Cointelegraph）[2023/3/6 12:45:17]

其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)

美國潮玩巨頭Funko Pop Digital推出DC漫畫旗下《少年泰坦》NFT:金色財經報道，美國潮玩巨頭Funko Pop Digital宣布推出《少年泰坦》（Teen Titans）NFT，發行時間為2023年1月31日，總計4.3萬枚，分為普通、罕見、稀有和史詩四個級別。少年泰坦是美國DC漫畫旗下的超級英雄團隊，其歷史幾乎與正義聯盟（Justice League）同樣久遠，并且出現過許多衍生組織。[2023/1/24 11:27:30]

2、攻擊流程

以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步，攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步，FTX熱錢包地址會向攻擊合約地址轉入小額的資金，利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約，并且每次執行完子合約之后，子合約都會自毀，所以以下圖為例部分展示。

阿迪達斯將于11月16日發布“全新Web3旅程”:金色財經報道，據阿迪達斯的無聊猿 BAYC #8774 二創 NFT “Indigo Herz”官方社交媒體賬戶披露信息，阿迪達斯將在 11 月 16 日“開箱”全新 Web3 旅程，同時還鏈接了阿迪達斯元宇宙官方網站。Indigo Herz 寫道：“我們如何利用遺贈來激發未來？什么是不可能的？大概什么都沒有。我們，來了。” 此外，Indigo Herz 還披露一些其他合作信息，并補充稱：“阿迪達斯接下來要做什么，新的面貌、新的戰略、對下一步的可視化正在醞釀之中。未來的日子里，在 CONFIRMED、adidas Originals 和其他合作伙伴支持下，全世界將看到我們前進的方向。未來非常有趣。”[2022/11/8 12:29:43]

標記為NEXO的地址已經從MakerDAO提取了7758.8枚WBTC:金色財經報道，PeckShieldA監測顯示，標記為NEXO 0x8fd的地址已經從MakerDAO提取了7,758.8枚WBTC（約1.51億美元），約為提取前MakerDao中持有WBTC的50%。[2022/10/1 18:36:33]

?第三步，接下來子合約fallback()函數去向Xen合約發起鑄幣請求，如下函數，claimRank()函數傳入一個時間期限進行鑄幣，鑄幣條件是只用支付調用gas費，并無其他成本，并且claimMintRewardAndShare()函數為提取函數，該函數只判斷是否達到時間期限，便可無條件提取到任何非零地址。但在此次調用過程中，交易發起者為FTX熱錢包地址，所以整個調用過程的gas都是由FTX熱錢包地址所支付，而Xen鑄幣地址為攻擊者地址。

前三個步驟，重復多次，并且每次重復過程中都會將已到期的代幣提取出來，并且同時發起新的鑄幣請求，黑客達成他的目標。

3、漏洞分析

本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制，也沒有對ETH的gasLimit進行限制，導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時，Beosin安全團隊通過BeosinTrace對被盜資金進行追蹤分析，FTX交易所損失81ETH，黑客通過DODO，Uniswap將XENToken換成ETH轉移。

BeosinTrace資金追蹤圖

4、事件總結

針對本次事件，Beosin安全團隊建議：1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gaslimit進行足夠小的限制。

Tags：FTXGASEOSSINCITIES Vault (NFTX)GASG幣EOSC價格SIN幣

FIL