宇宙链 宇宙链
Ctrl+D收藏宇宙链

FTX 遭受GAS窃取攻击 黑客0成本铸造XEN Token 17K次

作者:

时间:1900/1/1 0:00:00

我们知道最近有个火爆的token,叫做XEN,只需要付出gas费就能铸造大量代币,那有没有办法让别人替我们支付gas费呢,最近就有一个黑客正在让FTX帮他付钱。

漏洞原理:

攻击准备阶段:

10月10日,攻击者0x1d371CF00038421d6e57CFc31EEff7A09d4B8760在链上部署了攻击合约

攻击阶段:

FTX交易所出金热钱包地址向攻击合约连续进行0.0035ETH左右的小额ETH转账,如下图所示:

Coinbase前首席技术官:FTX可能是国家失败的预演,比特币是对冲通胀的工具:12月12日消息,加密货币交易所Coinbase前首席技术官、风险投资公司a16z前合伙人、天使投资人Balaji Srinivasan在其推文中表示,“将FTX视为国家失败的预演,有一天,您的美元银行账户余额可能会被冻结或膨胀到一文不值”。Twitter上的许多人赞同Srinivasa 的观点,称比特币和去中心化是答案。此外,Srinivasan在另一条推文中还评论表示,比特币是对冲通胀的工具。[2022/12/12 21:38:31]

进一步查看交易详情,每次交易攻击合约均创建了1~3个子合约,这些子合约先进行XENToken的Mint或Claim。最终这些合约会自我销毁。这些操作都由FTX热钱包地址支付gas费。

FTX CEO:比特币比黄金更好:金色财经报道,FTX首席执行官表示,比特币与黄金相似,但更干净,更容易获得,而且有完整的、可审计的交易历史。所以,比特币比黄金更好。[2022/8/17 12:32:05]

全球信贷服务商HidedRoad完成5000万美元A轮融资,FTX和Coinbase参投:7月8日消息,全球信贷服务商 HidedRoad Partners 宣布完成 5000 万美元 A 轮融资,由 Castle Island Ventures 领投,Citadel Securities, FTX Ventures, Uncorrelated Ventures, Greycroft, XBTO Humla Ventures, Wintermute, SLN Capital, Profluent Trading, Coinbase Ventures 等参投。

据悉,HidedRoad 的量化平台跨越场所、产品和资产类别,提供实时风险管理和无缝信贷。对于传统和数字资产,该公司提供大宗经纪、清算和融资服务。(The Block)[2022/7/8 1:59:19]

攻击损失:

华尔街日报:FTX寻求监管机构批准其加密衍生品,遭到传统交易所反对:7月6日消息,加密货币交易所FTX正在寻求监管机构的批准,以允许个人投资者使用衍生品对比特币进行杠杆押注,此举遭到一些竞争对手的反对。

传统交易所和金融业团体表示,FTX的提议可能危及市场稳定。他们的担忧集中在该计划的一个关键要素上,即投资者可以直接与FTX交易,而无需通过经纪商。这种方法代表着衍生品市场数十年来运作方式的改变。(华尔街日报)[2022/7/6 1:55:24]

截止目前,FTX交易所因为GAS窃取漏洞共损失了81+ETH,黑客地址已获得超过1亿个XENToken,并通过DoDo,Uniswap等去中心化交易所将部分XEN代币换成61个ETH,并入金到FTX以及Binance交易所。

我们对该攻击进行了链上监控,目前仅感知到FTX交易所面临此类攻击。然而针对FTX的GAS窃取攻击仍在进行中。以下为攻击者部署的合约地址:

0xcba9b1fd69626932c704dac4cb58c29244a47fd3

0x6a6474d79536c347d6df1e5f1ce9be12613a13c6

0x51125a7d015eddc3dbef138a39ba091863d1f155

0x6438162e69037c452e8af5d6ae70db1515324a3d

0xb69d4de5991fa3ded39c27ed88934a106f0af19e

0x8b2550add3c5067ca7c03b84e1e37b14b35aa1e5

0x2e1891de1e334407fafaab09ac545bb9e4099833

0xebe5cccc75b4ec5d6d8c7a3a8cee0d8c0e821584

0xcf0da9cea8403ff1e3ed6db93f3badc885c24522

0x524db09476bb87b581e1c95fbf37383661d1829a

0x1afd71464dd7485f8b3cea7c658c6a1e2b3e77a4

0xfc3ee819f873050f7f3bbce8b34ba9df4c44b5d0

0xb6bdf9eb331d0109dd3ba1018f119c59341fbb40

0x8e2b77c3c8d6e908aea789864e36a07bea1aaf58

0x46666a93b1f83b4c475b870dc67dc0dbd8a16607

0x15e5bf7f142ffa6f5eb7e1a30725603c97c2d0d6

0x6845eebc315109a770dcc7a43ed347405a82e94b

漏洞分析:

FTX钱包安全:既没有对接收方地址为合约地址进行任何限制。也没有对ETH原生Token的转账GASLimit进行限制,而是采用estimateGas方法评估手续费,这种方法导致GASLIMIT大部分为500,000,超出默认21,000值的24倍。

FTX出金安全:从FTX出金热钱包地址的出金中存在大量相同出金地址的小额转账。为明显出金异常事件。

FTX业务安全:FTX提币免手续费,给攻击者零成本窃取带来极大便利。

标签:FTXGASENT比特币MANEKI Vault (NFTX)VEGAS币cent币价格一个比特币要挖多久CellETF

比特币交易所热门资讯
NFT 为何能够重塑艺术价值?

撰文:?NFTLabs 多数人在忙于追逐热点的时候会忽略背后的逻辑,前阵子版税的出现重新引发了人们对「数字艺术」的讨论.

1900/1/1 0:00:00
“猴子”被美国SEC调查:推广NFT与元宇宙的法律注意事项

作者?|?Gulovsen?Law?Office吴说区块链授权翻译、编辑、发布10月11日,彭博社报道美国SEC正在调查BAYC的开发公司YugaLabs。SEC在检查它发布的NFT是否类似于股票以及是否需要遵循类似的法规.

1900/1/1 0:00:00
金色早报 | 马来西亚将建立国家公共区块链

头条 ▌马来西亚将建立国家公共区块链10月8日消息,MYEGServicesBerhad(MYEG)和MimosTechnologySolutionsSdnBhd(MTSSB)签署了一份谅解备忘录(MOU).

1900/1/1 0:00:00
Web3 龙头被查 海外证监向NFT出手?

从2017年至今,使用ERC-721标准的NFT已经走过了近5年时间,但时至今日如何对其进行恰如其分的监管依然困扰着世界上大部分国家.

1900/1/1 0:00:00
重新解读Layerzero:常被误认为跨链桥的协议层产品

在刚刚过去的这轮长达两年的牛市中,市场不但见证了多链生态的迅速崛起,更直接目睹了众多跨链桥产品的迅速爆发.

1900/1/1 0:00:00
金色观察 | 控筹?缺乏透明度?一文读懂Aptos所有争议

10月18日凌晨,新一代公链Aptos官宣上线。随着Aptos的官宣,市面上的主流大所第一时间发布公告开启冲提,并在19日开放交易。 熊市之下,主流大所的行为挑动了整个行业用户的敏感神经,导致用户对于Aptos产生浓厚的兴趣.

1900/1/1 0:00:00