安全團隊：FTX交易所遭到gas竊取攻擊事件技術分析_TOKEN:CVR Token

10月13日消息，據BeosinEagleEyeWeb3安全預警與監控平臺的輿情消息，FTX交易所遭到gas竊取攻擊，黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。Beosin安全團隊第一時間對事件進行了分析，結果如下：1.以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)，攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)2.FTX熱錢包地址會向攻擊合約地址轉入小額的資金，利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約，并且每次執行完子合約之后，子合約都會自毀。3.接下來子合約fallback()函數去向Xen合約發起鑄幣請求，如下函數，claimRank()函數傳入一個時間期限進行鑄幣，鑄幣條件是只用支付調用gas費，并無其他成本，并且claimMintReward()函數為提取函數，該函數只判斷是否達到時間期限，便可無條件提取。但在此次調用過程中，交易發起者為FTX熱錢包地址，所以整個調用過程的gas都是由FTX熱錢包地址所支付，而Xen鑄幣地址為攻擊者地址。4.1-3中的步驟，重復多次，并且每次重復過程中都會將已到期的代幣提取出來，并且同時發起新的鑄幣請求。截止發文時，通過BeosinTrace追蹤發現，FTX交易所損失81ETH，黑客通過DODO，Uniswap將XENToken換成ETH轉移。

安全團隊：警惕虛假FTX Helpdesk推特和Telegram賬號:金色財經報道，CertiK Alert發推稱，發現虛假的FTX Helpdesk推特賬號（@FTXHelpdesk7）和Telegram賬號，提醒用戶不要與此賬號互動或向其提供自己的登錄詳細信息，切記永遠不要將密碼透露給任何人。[2022/11/20 22:08:21]

安全團隊：UvToken礦池合約因未檢查用戶傳參合法性導致被黑:金色財經報道，根據安全團隊慢霧區情報，UvTokenWallet Eco Staking 礦池合約被黑，漏洞關鍵原因在于，礦池合約取款函數未嚴格判斷用戶輸入，導致攻擊者可以直接傳入惡意合約地址并利用惡意合約掏空相關資金。慢霧 MistTrack 對資金進行了追蹤溯源分析：截止目前黑客已將獲利資金共計 5,011 BNB 轉移到 Tornado Cash。此外，攻擊的手續費來源同樣為 Tornado Cash。

此前報道，多鏈錢包UvToken遭遇攻擊。[2022/10/27 11:48:38]

聲音 | DVP安全團隊：PoS幣種需警惕新型“假權益”攻擊:據DVP安全團隊觀察，國外“去中心化系統實驗室”披露一則使用PoS共識的區塊鏈系統或會存在嚴重漏洞。報告表示，該漏洞至少影響26個PoS幣，其中5個在通知后已修復。據悉，該漏洞允許攻擊者利用“假權益”攻擊，以很小的成本導致網絡中任何節點崩潰。公鏈一旦發生大量節點崩潰就存在51%攻擊的風險，持該類幣種用戶需保持警惕。[2019/1/24]

Tags：FTXTOKTOKENTOKECoinbase Pre-IPO tokenized stock FTXCVR TokenAEP TokenHyFi Token

XLM