宇宙链 宇宙链
Ctrl+D收藏宇宙链

Beosin发布FTX遭遇的Gas窃取攻击事件技术分析:FTX交易所已损失81 ETH

作者:

时间:1900/1/1 0:00:00

据BeosinEagleEyeWeb3安全预警与监控平台的舆情消息,FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XENTOKEN。Beosin安全团队对此事分析如下:

1.以其中一笔攻击交易为例

(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)。

Beosin:Arbitrum上的Rodeo Finance疑似遭遇攻击,损失150万美元:金色财经报道,据Beosin旗下Beosin EagleEye监控显示,Arbitrum上的杠杆收益协议Rodeo Finance疑似遭遇攻击,目前统计被盗资金约150万美元,Beosin提醒用户注意资金安全。[2023/7/11 10:48:08]

2.FTX热钱包地址会向攻击合约地址转入小额的资金,利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约,并且每次执行完子合约之后,子合约都会自毁。

Beosin:Avalanche链上Platypus项目损失850万美元攻击事件解析:2月17日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、 预警与阻断平台监测显示,Avalanche链上的Platypus项目合约遭受闪电贷攻击,Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用Platypus Finance合约的deposit函数质押,该函数会为攻击者铸造等量的LP-USDC,随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中,然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额,_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限,利用该返回值通过borrow函数铸造了大量USP(获利点),由于攻击者自身存在利用LP-USDC借贷的大量债务(USP),那么在正常逻辑下是不应该能提取出质押品的,但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的borrowLimitUSP(借贷上限)而没有检查用户是否归还债务的情况下,使攻击者成功提取出了质押品(4400万LP-USDC)。归还4400万USDC闪电贷后, 攻击者还剩余41,794,533USP,随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。[2023/2/17 12:12:32]

3.接下来子合约fallback()函数去向Xen合约发起铸币请求,如下函数,claimRank()函数传入一个时间期限进行铸币,铸币条件是只用支付调用gas费,并无其他成本,并且claimMintReward()函数为提取函数,该函数只判断是否达到时间期限,便可无条件提取。但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址。

声音 | Beosin预警:Mercatox交易所再次遭hard_fail攻击:成都链安态势感知系统Beosin Eagle Eye检测到,今日晚上7点左右攻击mercatox交易所的黑客于晚上10:23时再次对该交易所发起(hard_fail)攻击,并获利500多EOS。成都链安提醒各大交易所,近日来不断有黑客尝试用(hard_fail)攻击手法来试探各大交易所,各大交易所需做好防护措施。[2019/3/15]

4.1-3中的步骤,重复多次,并且每次重复过程中都会将已到期的代币提取出来,并且同时发起新的铸币请求。

截止发文时,通过BeosinTrace追踪发现,FTX交易所损失81ETH,黑客通过DODO、Uniswap将XEN代币换成ETH转移。

此前早些时候消息,FTX遭受GAS窃取攻击,黑客零成本铸造XEN代币17000次。

相关阅读:0成本获利80ETH,黑客是如何利用FTX铸造超1亿枚XEN?

标签:EOSSINFTXPLATleos币雷石链blockchainBusiness官网safuu币FTX涨幅27倍PlatonCoin

火必交易所热门资讯
多国央行数字货币桥(mCBDC Bridge)项目发布最新进展联合报告

据BIS官网,由国际清算银行创新中心、香港金融管理局、泰国中央银行、阿联酋中央银行和中国人民银行数字货币研究所联合合作的多国央行数字货币桥项目发布最新进展联合报告“ProjectmBridge:Connectingeconomiest.

1900/1/1 0:00:00
Aptos基金会将为早期网络参与者空投共计约2000万枚APT,并公布其与Aptos Labs的职责

据官方推特,Aptos基金会宣布将为早期网络参与者空投APT代币。完成Aptos激励测试网申请或铸造APTOS:ZERO测试网NFT的用户有资格申领Aptos代币,接下来的几个小时内收到一封来自airdrop@aptosfoundat.

1900/1/1 0:00:00
安全团队:ParaSwap部署者私钥疑似泄露且资金被盗,多签金库或存在风险

据Supremacy安全团队监测,今日DEX聚合平台ParaSwap合约部署者地址在多个链上发起异常交易,将其地址中的全部余额转移至0xf35875a064cdbc29d7174f5c699f1ebeaa407036地址.

1900/1/1 0:00:00
ApeCoin DAO关于“特别委员会成员提名程序”的提案已开启投票

ApeCoinDAO管理团队成员BTang发起的最新提案AIP-137已开启投票,该提案设计了特别委员会成员提名程序,旨在“让有才华、热情和有能力的社区成员浮出水面并最终通过治理投票被任命为特别委员会”,投票将于11月3日截止.

1900/1/1 0:00:00
Facebook系公链Aptos正式启动主网Aptos Autumn

据官方公告,公链项目Aptos宣布正式启动主网AptosAutumn。Aptos区块链的技术创新包括交易处理的流水线和模块化方法、新的智能合约并行执行引擎Block-STM、AptosBFT共识、去中心化的状态同步灵活性等.

1900/1/1 0:00:00
NFT借贷市场聚合器和流动性路由协议Spice Finance完成170万美元融资

据官方公告,NFT借贷市场聚合器和流动性路由协议SpiceFinance宣布完成170万美元融资,ShimaCapital领投.

1900/1/1 0:00:00