比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 狗狗幣 > Info

猖獗黑客“薅”交易所羊毛?FTX交易所遭到Gas竊取攻擊事件分析_EOS

Author:

Time:1900/1/1 0:00:00

2022年10月13日,據據BeosinEagleEyeWeb3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。

金色財經邀請Beosin安全團隊第一時間對事件進行了分析,結果如下:

1、事件相關信息

其中一部分攻擊交易:

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

交易所錢包近24小時有1,290.17枚BTC流入:金色財經報道,據coinglass數據顯示,交易所錢包余額近24小時流入1,290.17枚BTC,近7天流入10,749.19枚BTC,近30天流入578.22枚BTC。目前全網交易所錢包余額總計為1,903,215.92枚BTC。[2022/12/27 22:09:17]

其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)

巴西加密貨幣交易所Mercado Bitcoin今年將進入墨西哥市場:金色財經消息,巴西加密貨幣交易所Mercado Bitcoin的首席執行官Reinaldo Rabelo在接受采訪時表示:“確定的是,在今年下半年,我們將開始在墨西哥運營。”他補充說,關于該國監管部門批準的談判已進入最后階段。

一年前,該公司從軟銀集團(SoftBank Group)的拉丁美洲基金籌集了2億美元,希望利用這些資金進行擴張。(路透社)[2022/7/22 2:30:06]

2、攻擊流程

以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀,所以以下圖為例部分展示。

摩根大通:礦工拋售BTC或將持續到2022年第三季度:6月25日消息,由Nikolaos Panigirtzoglou領導的摩根大通策略團隊最近發布報告稱,如果比特幣礦工盈利能力未能提高,為了滿足持續成本或去杠桿化將會選擇持續拋售比特幣,這種情況可能會持續到今年第三季度。

目前,全球電力成本飆升和加密市場整體走低等壓力都在打擊加密礦企的盈利能力,礦工們正試圖通過削減成本和出售部分比特幣來提高利潤。

此外,比特幣礦工還要面臨債權人和其他交易對手帶來的巨大壓力,那些通過高杠桿借貸獲取資金的礦工甚至會引發更大規模的連鎖反應,導致加密貨幣借貸服務提供商和對沖基金公司破產。(雅虎財經)[2022/6/26 1:31:37]

Clockwork Labs完成2200萬美元A輪融資,a16z領投:金色財經報道,區塊鏈游戲公司Clockwork Labs宣布完成2200萬美元A輪融資,Andreessen Horowitz(a16z)領投,Supercell、Baszucki、Roblox 創始人兼首席執行官 David Baszucki、CCP Games 首席執行官 Hilmar Petursson 和 Unity 聯合創始人 David Helgason 等私人投資者參投。Clockwork Labs將利用這筆最新融資開發其社區沙盒大型多人在線角色扮演游戲 BitCraft,并為游戲、Web應用程序和Web3 APP革命性新數據庫技術提供支持。[2022/6/17 4:33:49]

?第三步,接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintRewardAndShare()函數為提取函數,該函數只判斷是否達到時間期限,便可無條件提取到任何非零地址。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。

前三個步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求,黑客達成他的目標。

3、漏洞分析

本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制,也沒有對ETH的gasLimit進行限制,導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時,Beosin安全團隊通過BeosinTrace對被盜資金進行追蹤分析,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XENToken換成ETH轉移。

BeosinTrace資金追蹤圖

4、事件總結

針對本次事件,Beosin安全團隊建議:1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gaslimit進行足夠小的限制。

Tags:GASFTXBTCEOSUGAS-JUN21Punk Vault (NFTX)btc兌換人民幣匯率EOSeven

狗狗幣
一位加密礦工自述:2013年的礦工歷史_EOS

來源:JoonasK?pp?一個真實的故事,講述了我在2013年比特幣的第一次淘金熱期間如何全力挖掘加密貨幣。2013年3月的一個寒冷的夜晚,在芬蘭的Yl?j?rvi市.

1900/1/1 0:00:00
多鏈世界的“高速公路”:一文讀懂跨鏈協議演進與未來_ANC

當我們發現自己正處于另一個“加密貨幣寒冬”之中——這在很大程度上是由一系列項目破產、監管打擊和宏觀看跌推動的——但重要的是,我們不要忽視促成下一次牛市的技術突破和將權力下放的精神重新引入大眾.

1900/1/1 0:00:00
微軟成立“工業元宇宙”新團隊Industrial Metaverse Core_AZU

金色財經報道,微軟希望利用元宇宙來改變工業工作的體驗。這家科技巨頭上周在內部透露了一個新團隊IndustrialMetaverseCore.

1900/1/1 0:00:00
王思聰入局 五天產生近75萬個簽 能為數字藏品帶來第二春嗎?_INT

近日,一家名為“名堂MintTang”的數藏平臺正式上線,其發售的第一款產品自10月9日開放預約至9月13日公布中簽結果,在短短五天內,共產生了74.8萬個簽號.

1900/1/1 0:00:00
16個城市啟動元宇宙項目招標 最高金額5730萬元_元宇宙

作者:黃婉儀 城市自身的需求,為元宇宙企業技術和產品落地提供了更加廣闊的前景。近期,廣州南沙區上線了全國首個元宇宙政務服務大廳,推出在3D空間進行數字化政務辦理業務,成為又一重磅元宇宙落地項目.

1900/1/1 0:00:00
當Discord備受批評 Web3版Discord會是怎樣的?_DIS

比特幣誕生至今14年,在加密行業的敘事、賽道和項目均呈現出繁榮景象之際,盡管去中心化和隱私保護早已成為幣圈人的精神信仰.

1900/1/1 0:00:00
ads