宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > OKB > 正文

猖獗黑客“薅”交易所羊毛?FTX交易所遭到Gas窃取攻击事件分析

作者:

时间:1900/1/1 0:00:00

2022年10月13日,据据BeosinEagleEyeWeb3安全预警与监控平台的舆情消息,FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XENTOKEN。

金色财经邀请Beosin安全团队第一时间对事件进行了分析,结果如下:

1、事件相关信息

其中一部分攻击交易:

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

BitChute寻求以7.5亿至10亿美元估值完成1000万美元A轮融资:7月4日消息,去中心化视频分享网站BitChute正寻求以7.5亿至10亿美元估值完成1000万美元A轮融资,新资金将用于构建允许用户进行直播和向内容创建者付款的新功能。比特币投资者Patrick Dai和Matthew Branton已向BitChute投资并共同获得BitChute60%的股份,长期目标是基于区块链实现去中心化,用户可以决定是否进行内容审核。[2023/7/4 22:16:33]

其中一个攻击者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一个攻击合约0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻击地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX热钱包地址)

深圳发文部署企业家培训,元宇宙纳入必修课:2月27日消息,深圳市中小企业服务局近日发布《深圳市民营及中小企业家培育工程“星耀鹏城”计划实施方案》,旨在推动民营及中小企业经营管理水平提升,引导民营及中小企业高质量发展。

在培训课程项目方面,方案设置了必修课和选修课两大类。其中,必修课中的数字化赋能课程包括但不限于数字化转型有关政策解读,工业互联网、智能制造、数字经济、金融科技等数字化转型课程,5G、物联网、云计算、人工智能、区块链、云服务等新兴技术领域及应用,元宇宙、未来世界等前沿话题方面的课程。(巴比特)[2023/2/27 12:31:29]

2、攻击流程

以其中一笔攻击交易为例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX热钱包地址会向攻击合约地址转入小额的资金,利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约,并且每次执行完子合约之后,子合约都会自毁,所以以下图为例部分展示。

LISA代言元宇宙手游《MetaCity M》:5月7日消息,近日,Gamamobi旗下开发的开放世界元宇宙手游《MetaCity M》即将在海外推出,LISA成为《MetaCity M》的全球代言人。

据了解,《MetaCity M》是一款半沙盒开放世界的元宇宙游戏,游戏上线后将会首先开放第一颗“居住”星球:泰坦星。在泰坦星球超过5.1亿平方公里的星球上,将会提供超过8160万平方公里的可开发土地,身处其中的玩家可以按照自己的意愿共同渐次发展、建设整个元宇宙,并且没有任何等级限制。[2022/5/7 2:55:58]

诺奖得主:各国应禁止或至少开始认真监管比特币等加密货币:4月27日消息,2007年诺贝尔经济学奖得主Eric Maskin周二在清华大学中国经济思想与实践研究院(ACCEPT)举办的第四届“政府与市场经济学”国际研讨会上表示,比特币等加密货币是不能忽视的风险,世界其他国家应效仿中国,禁止比特币等加密货币,即便不能彻底禁止,至少也应开始认真监管。Maskin指出,在很多方面,传统货币都比比特币等加密货币强得多。比如,央行发行的货币不像比特币和其他私人加密货币那样容易受到巨大投机波动的影响,波动性可能对投机者有利,但对社会不利。比特币和其他加密货币经常被用于非法交易,原因是传统货币受到监管。

此外,Maskin表示,加密货币实际可能是有害的,其潜在危害尤其体现在两方面。

一是可能会干扰良好的货币政策。“如果人们使用像比特币这样的私人货币,货币政策的影响会相应变小。”他说,“我们可能会发现走出衰退变得更加困难。”

二是比特币等加密货币无法替代银行的关键作用,即评估和向企业家提供贷款。[2022/4/27 5:13:53]

?第三步,接下来子合约fallback()函数去向Xen合约发起铸币请求,如下函数,claimRank()函数传入一个时间期限进行铸币,铸币条件是只用支付调用gas费,并无其他成本,并且claimMintRewardAndShare()函数为提取函数,该函数只判断是否达到时间期限,便可无条件提取到任何非零地址。但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址。

前三个步骤,重复多次,并且每次重复过程中都会将已到期的代币提取出来,并且同时发起新的铸币请求,黑客达成他的目标。

3、漏洞分析

本次攻击主要利用了FTX项目没有对接收方为合约地址进行任何限制,也没有对ETH的gasLimit进行限制,导致攻击可以利用合约来铸造XEN代币进行获利。截止发文时,Beosin安全团队通过BeosinTrace对被盗资金进行追踪分析,FTX交易所损失81ETH,黑客通过DODO,Uniswap将XENToken换成ETH转移。

BeosinTrace资金追踪图

4、事件总结

针对本次事件,Beosin安全团队建议:1.对钱包接收为合约的地址进行限制。2.对业务中存在gas风险的业务对gaslimit进行足够小的限制。

标签:比特币加密货币FTXGAS比特币糖果是什么意思加密货币有哪几种形态KONGZ Vault (NFTX)GASC

OKB热门资讯
Web3龙头被查 海外证监向NFT出手?

从2017年至今,使用ERC-721标准的NFT已经走过了近5年时间,但时至今日如何对其进行恰如其分的监管依然困扰着世界上大部分国家.

1900/1/1 0:00:00
纵观DeSci:起源、代表项目与未来发展

原文作者:Sihan,CloudY原文编辑:Vincero,YL,DoctorStrange一、DeSci所解决的问题 1.?经费问题 传统的科研是以中心化的方式来寻求科研经费以及资源,如国家自然基金.

1900/1/1 0:00:00
加密投资组合多元化:这是个错误的策略吗?

加密货币多元化?以下都不是财务建议。我们经常听到有人声称多元化会降低我们投资组合的风险。但是,这是什么意思?风险通常可以归结为两个组成部分,市场风险和特殊风险。对于我们添加到投资组合中的每一项资产,特殊风险的数量都会减少.

1900/1/1 0:00:00
VC对11类NFT初创企业的看法与建议

早在2018年,我们就决定独树一帜投资链游,因为在我们看来,Crypto将成为加速开放经济体在虚拟世界中大规模采用的基础层。现在看来,在2018年那时投资链游确实是个不错的选择.

1900/1/1 0:00:00
数字藏品降温 未来发展将“脱虚向实”

日前,国内最大数字藏品平台之一腾讯幻核宣布停止数字藏品发行。与此同时,多个数字藏品平台都明显放慢了产品发行速度及数量,有的平台的数字藏品甚至出现滞销,销售价格也大幅下跌。国外的NFT市场同样急速降温.

1900/1/1 0:00:00
从 Web2 社交面临的挑战看 Web3 为何能够取而代之

原文作者:4rc.eth,由DeFi之道翻译编辑。2022年5月,在没有任何警告或理由的情况下,BanklessYouTube频道一夜之间消失了.

1900/1/1 0:00:00