猖獗黑客“薅”交易所羊毛？FTX交易所遭到Gas窃取攻击事件分析

2022年10月13日，据据Beosin EagleEye Web3安全预警与监控平台的舆情消息，FTX交易所遭到gas窃取攻击，黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。

金色财经邀请Beosin安全团队第一时间对事件进行了分析，结果如下：

其中一部分攻击交易：

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

SuperRare创始人：SuperRare的NFT版税不会消失:金色财经报道，SuperRare创始人Jonathan Perkins在NFT巴黎会议期间表示，向创作者付费的决定早在五年前就已做出。他说：“当时我们采取了一个相当有争议的举措，将艺术家版税包括在内。如果我们可以通过版税帮助艺术家赚钱，为什么不至少尝试一下呢？因此，我们在建立某种标准方面发挥了一定作用，至少在艺术方面。SuperRare的版税不会消失。”

SuperRare是一个面向艺术创作者和NFT收藏家的社交网络，Perkins认为，更广泛的市场面临的挑战与该平台面临的挑战大不相同，因为“SuperRare上的收藏家通常不进行高频交易或试图快速赚钱。”Perkins说：“我们花了五年时间建立了一个社区，让收藏家真正与艺术家建立联系，而且有更多的善意和长远眼光，这往往更容易就保留版税达成共识。”[2023/2/28 12:32:54]

其中一个攻击者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一个攻击合约0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻击地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX热钱包地址)

NYDFS提醒加密货币保管人注意禁止混合资金的法律:金色财经报道，纽约金融服务部 (NYDFS) 主管Adrienne Harris提醒处于受托状态的持牌加密货币托管人，他们有责任确保客户资金不与自己的资产混在一起。Harris是该州 BitLicense 制度的支持者，他在周一发布的监管指导声明中发出了这一提醒。该指南涵盖了该州持牌加密货币托管人破产时的消费者保护问题。周一的监管说明重申了 NYDFS 反对加密货币托管公司混合资金的立场。

混合是指受托人不将自己的资产与其代表客户持有的资金分开。混合是对金融市场信任的破坏，并与 FTX 崩溃有关。FTX 首席执行官 John Ray此前在美国国会作证说，FTX 及其姊妹交易公司 Alameda Research 经营混合账户。[2023/1/24 11:28:17]

以其中一笔攻击交易为例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步，攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步，FTX热钱包地址会向攻击合约地址转入小额的资金，利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约，并且每次执行完子合约之后，子合约都会自毁，所以以下图为例部分展示。

Sui生态API和节点服务Shinami正在构建开发者基础设施:9月23日消息，Sui生态API和节点服务Shinami宣布正在构建开发者基础设施，以支持基于Sui构建的DApp。Shinami表示，其节点基础设施将减少在Sui上构建DApp所需的时间和成本。[2022/9/23 7:15:59]

 第三步，接下来子合约fallback()函数去向Xen合约发起铸币请求，如下函数，claimRank()函数传入一个时间期限（最小1天）进行铸币，铸币条件是只用支付调用gas费，并无其他成本，并且claimMintRewardAndShare()函数为提取函数，该函数只判断是否达到时间期限（本次黑客设置的时间期限为最小值1天），便可无条件提取到任何非零地址。但在此次调用过程中，交易发起者为FTX热钱包地址，所以整个调用过程的gas都是由FTX热钱包地址所支付，而Xen铸币地址为攻击者地址。

币安正申请菲律宾牌照以进军东南亚市场:6月8日消息，币安目前正在菲律宾寻求虚拟资产服务提供商(VASP)和电子货币发行机构(EMI)的许可证，以进军东南亚市场 。 今日，币安首席执行官赵长鹏会见了菲律宾官员，讨论了在该国扩张的监管和银行支持。

最近，币安在过去6个月内进入了意大利、迪拜、巴林和法国等多个市场。（Coingape）[2022/6/8 4:10:33]

前三个步骤，重复多次，并且每次重复过程中都会将已到期的代币提取出来，并且同时发起新的铸币请求，黑客达成他的目标。

本次攻击主要利用了FTX项目没有对接收方为合约地址进行任何限制，也没有对ETH的gas Limit进行限制，导致攻击可以利用合约来铸造XEN代币进行获利。截止发文时，Beosin安全团队通过Beosin Trace对被盗资金进行追踪分析，FTX交易所损失81ETH，黑客通过DODO，Uniswap将XEN Token换成ETH转移。

Beosin Trace资金追踪图

针对本次事件，Beosin安全团队建议：1.对钱包接收为合约的地址进行限制。2.对业务中存在gas风险的业务对gas limit进行足够小的限制。

Beosin

企业专栏

阅读更多

白话区块链

金色财经Maxwell

NFT中文社区

CoinDesk中文

达瓴智库

去中心化金融社区

金色荐读

肖飒lawyer

CT中文

ETH中文

ForesightNews

标签：FTXGASEOSAREUWU Vault (NFTX)UniDexGaseosdac币有发展前景吗VR Arena

欧易交易所热门资讯