猖獗黑客“薅”交易所羊毛？FTX交易所遭到Gas窃取攻击事件分析

2022年10月13日，据据BeosinEagleEyeWeb3安全预警与监控平台的舆情消息，FTX交易所遭到gas窃取攻击，黑客利用FTX支付的gas费用铸造了大量XENTOKEN。

金色财经邀请Beosin安全团队第一时间对事件进行了分析，结果如下：

1、事件相关信息

其中一部分攻击交易：

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

BitChute寻求以7.5亿至10亿美元估值完成1000万美元A轮融资:7月4日消息，去中心化视频分享网站BitChute正寻求以7.5亿至10亿美元估值完成1000万美元A轮融资，新资金将用于构建允许用户进行直播和向内容创建者付款的新功能。比特币投资者Patrick Dai和Matthew Branton已向BitChute投资并共同获得BitChute60%的股份，长期目标是基于区块链实现去中心化，用户可以决定是否进行内容审核。[2023/7/4 22:16:33]

其中一个攻击者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一个攻击合约0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻击地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX热钱包地址)

深圳发文部署企业家培训，元宇宙纳入必修课:2月27日消息，深圳市中小企业服务局近日发布《深圳市民营及中小企业家培育工程“星耀鹏城”计划实施方案》，旨在推动民营及中小企业经营管理水平提升，引导民营及中小企业高质量发展。

在培训课程项目方面，方案设置了必修课和选修课两大类。其中，必修课中的数字化赋能课程包括但不限于数字化转型有关政策解读，工业互联网、智能制造、数字经济、金融科技等数字化转型课程，5G、物联网、云计算、人工智能、区块链、云服务等新兴技术领域及应用，元宇宙、未来世界等前沿话题方面的课程。（巴比特）[2023/2/27 12:31:29]

2、攻击流程

以其中一笔攻击交易为例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步，攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步，FTX热钱包地址会向攻击合约地址转入小额的资金，利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约，并且每次执行完子合约之后，子合约都会自毁，所以以下图为例部分展示。

LISA代言元宇宙手游《MetaCity M》:5月7日消息，近日，Gamamobi旗下开发的开放世界元宇宙手游《MetaCity M》即将在海外推出，LISA成为《MetaCity M》的全球代言人。

据了解，《MetaCity M》是一款半沙盒开放世界的元宇宙游戏，游戏上线后将会首先开放第一颗“居住”星球：泰坦星。在泰坦星球超过5.1亿平方公里的星球上，将会提供超过8160万平方公里的可开发土地，身处其中的玩家可以按照自己的意愿共同渐次发展、建设整个元宇宙，并且没有任何等级限制。[2022/5/7 2:55:58]

诺奖得主：各国应禁止或至少开始认真监管比特币等加密货币:4月27日消息，2007年诺贝尔经济学奖得主Eric Maskin周二在清华大学中国经济思想与实践研究院（ACCEPT）举办的第四届“政府与市场经济学”国际研讨会上表示，比特币等加密货币是不能忽视的风险，世界其他国家应效仿中国，禁止比特币等加密货币，即便不能彻底禁止，至少也应开始认真监管。Maskin指出，在很多方面，传统货币都比比特币等加密货币强得多。比如，央行发行的货币不像比特币和其他私人加密货币那样容易受到巨大投机波动的影响，波动性可能对投机者有利，但对社会不利。比特币和其他加密货币经常被用于非法交易，原因是传统货币受到监管。

此外，Maskin表示，加密货币实际可能是有害的，其潜在危害尤其体现在两方面。

一是可能会干扰良好的货币政策。“如果人们使用像比特币这样的私人货币，货币政策的影响会相应变小。”他说，“我们可能会发现走出衰退变得更加困难。”

二是比特币等加密货币无法替代银行的关键作用，即评估和向企业家提供贷款。[2022/4/27 5:13:53]

?第三步，接下来子合约fallback()函数去向Xen合约发起铸币请求，如下函数，claimRank()函数传入一个时间期限进行铸币，铸币条件是只用支付调用gas费，并无其他成本，并且claimMintRewardAndShare()函数为提取函数，该函数只判断是否达到时间期限，便可无条件提取到任何非零地址。但在此次调用过程中，交易发起者为FTX热钱包地址，所以整个调用过程的gas都是由FTX热钱包地址所支付，而Xen铸币地址为攻击者地址。

前三个步骤，重复多次，并且每次重复过程中都会将已到期的代币提取出来，并且同时发起新的铸币请求，黑客达成他的目标。

3、漏洞分析

本次攻击主要利用了FTX项目没有对接收方为合约地址进行任何限制，也没有对ETH的gasLimit进行限制，导致攻击可以利用合约来铸造XEN代币进行获利。截止发文时，Beosin安全团队通过BeosinTrace对被盗资金进行追踪分析，FTX交易所损失81ETH，黑客通过DODO，Uniswap将XENToken换成ETH转移。

BeosinTrace资金追踪图

4、事件总结

针对本次事件，Beosin安全团队建议：1.对钱包接收为合约的地址进行限制。2.对业务中存在gas风险的业务对gaslimit进行足够小的限制。

标签：比特币加密货币FTXGAS比特币糖果是什么意思加密货币有哪几种形态KONGZ Vault (NFTX)GASC

OKB热门资讯