2022年10月13日,據據Beosin EagleEye Web3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。
金色財經邀請Beosin安全團隊第一時間對事件進行了分析,結果如下:
其中一部分攻擊交易:
0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94
Celsius應用程序將在90天內關閉,確定PayPal負責BTC分銷:金色財經報道,破產的加密借貸平臺Celsius發布修訂后的披露聲明,透露其計劃在90天內關閉其應用程序。在聲明中,Celsius概述了其為債權人提供加密貨幣大幅追償的計劃。該公司打算向符合條件的債權人分發流動性加密貨幣,包括比特幣(BTC)和以太坊(ETH)。預計分配金額約為20.3億美元,價值受BTC和ETH價值潛在波動的影響。
此外,為了有效管理,Celsius選擇與第三方分銷代理合作,認為PayPal是向美國個人債權人進行某些分配的潛在代理。對于其他發行版,Celsius正在積極尋找其他發行代理。如果找不到合適的代理人,Celsius將在生效日期后九十天保持其平臺開放,以方便向特定債權人進行分配。[2023/8/12 16:22:33]
其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)
Curve.Finance宣布部署在Celo上:金色財經報道,Curve.Finance宣布將使用快速、可擴展的證明部署在Celo上,此次發布是 Celo 基金會、Curve、Stake DAO和Stake Capital之間的合作。[2022/11/28 21:06:00]
以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀,所以以下圖為例部分展示。
Web3初創公司Courtyard完成700萬美元種子輪融資,NEA領投:11月3日消息,為稀有運動鞋等收藏品制作NFT的Web3初創公司Countyyard宣布完成700萬美元種子輪融資,NEA領投,Y Combinator、OpenSea Ventures、VaynerFund、Brink's、Cherry Ventures和幾位天使投資人參投。
據悉,Courtyard是Y Combinator 2022年冬季孵化加速計劃項目之一,該公司提供的服務可以將一些貴重的實物收藏品鑄造成具有數字所有權的NFT,每個實物藏品都會經過認證、保險并存儲在保險庫中。目前Courtyard已經推出了一個運動鞋NFT市場,后續將會把業務拓展到豪車和藝術品領域。(businessinsider)[2022/11/3 12:11:47]
印度證券交易委員會將禁止名人代言加密貨幣廣告:金色財經報道,印度證券交易委員會(SEBI)建議,主要公眾人物和體育運動員代言加密貨幣廣告都將停止,SEBI表示,新的加密貨幣在幾個市場上高度不受監管,需要嚴格的規則,誤導性廣告是一種違法行為。SEBI 在回應中明確表示,如果涉及的名人不遵守法律,可能會導致可能違反消費者保護法,此外,還有可能因違反其他法律(包括 FEMA、BUDS 法案、PMLA 等)而被起訴。
此外,根據規定,首次違規的名人可能會因虛假聲明或者誤導性廣告而被 CCPA 處以最高 100 萬盧比的處罰,屢次違規可將罰款進一步提高至 500 萬盧比,甚至對任何其他產品實施長達 3 年的禁令。(coingape)[2022/5/16 3:18:11]
第三步,接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限(最小1天)進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintRewardAndShare()函數為提取函數,該函數只判斷是否達到時間期限(本次黑客設置的時間期限為最小值1天),便可無條件提取到任何非零地址。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。
前三個步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求,黑客達成他的目標。
本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制,也沒有對ETH的gas Limit進行限制,導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時,Beosin安全團隊通過Beosin Trace對被盜資金進行追蹤分析,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XEN Token換成ETH轉移。
Beosin Trace資金追蹤圖
針對本次事件,Beosin安全團隊建議:1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gas limit進行足夠小的限制。
Beosin
企業專欄
閱讀更多
白話區塊鏈
金色財經Maxwell
NFT中文社區
CoinDesk中文
達瓴智庫
去中心化金融社區
金色薦讀
肖颯lawyer
CT中文
ETH中文
ForesightNews
Tags:SINCELFTXGASSincere CateCelo DollarSQGL Vault (NFTX)GastroAdvisor
近一個月的時間里,多個藍籌 NFT 項目獲得了數千萬美元甚至過億美元的融資,在市場上引起了諸多關注.
1900/1/1 0:00:00原文作者:Joel John 原文編譯:Felix 最近有很多關于 Web3 和數字資產的 FUD。熊市震蕩。以下是大約 120 個圖表的匯編,這些圖表將我們所處的位置置于上下文中.
1900/1/1 0:00:00吃吃喝喝玩玩的國慶假期結束了,繼續努力工作賺錢等待下一次假期吧~祝每位金色數藏的小伙伴節后快樂依舊!為了讓快樂延續,現在我們來公布一下「小金庫杯·金色財經六周年」創作大賽的獲獎名單.
1900/1/1 0:00:00撰文:Huobi Incubator 編譯:angelilu,Foresight News由 Evmos社區聯合火幣孵化器和Web3獎學金主辦的Evmos Momentum Hackathon已.
1900/1/1 0:00:00「事件回顧」幣安鏈遭遇有史以來金額最大的黑客攻擊10月7日凌晨,BNB Chain遭遇了黑客攻擊,攻擊涉及的總金額達到7億美元,其中包含5.7億美元的BNB.
1900/1/1 0:00:00黑暗森林中的攻擊手法和防范措施。本文來自 Medium,原文作者:Kofi Kufuor,由 Odaily 星球日報譯者 Katie 辜編譯.
1900/1/1 0:00:00