以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > 狗狗幣 > Info

猖獗黑客“薅”交易所羊毛?FTX交易所遭到Gas竊取攻擊事件分析_FTX:ETH

Author:

Time:1900/1/1 0:00:00

2022年10月13日,據據Beosin EagleEye Web3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。

金色財經邀請Beosin安全團隊第一時間對事件進行了分析,結果如下:

其中一部分攻擊交易:

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

Polygon zkEVM最后一個測試網現已上線:12月25日消息,Polygon zkEVM發推表示,具有顯著性能升級的最終測試網現已上線,主網即將到來。

自Polygon zkEVM的公共測試網于10月推出以來,已經處理了21,966個txs,生成并驗證了14,930個ZK證明,創建了10,508個錢包地址等。[2022/12/25 22:06:15]

其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)

Hedz by Matt Furie系列NFT近24小時交易額增長超600%:金色財經報道,OpenSea最新數據顯示,Hedz by Matt Furie系列NFT過去24小時的交易額為670 ETH,增長率為648%。近24小時交易額排名位列OpenSea第1。[2022/9/22 7:13:48]

以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀,所以以下圖為例部分展示。

加拿大上市公司Cypherpunk Holdings清算公司全部BTC和ETH資產為現金:6月28日消息,在加拿大證券交易所上市的加密投資公司Cypherpunk Holdings宣布考慮到市場行情和股東利益,該公司已售出205.8209枚ETH(收益為29.3萬加元)和214.7203BTC(收益逾608萬加元)。出售加密貨幣的總收益為6,378,787加元(近500萬美元)。目前Cypherpunk Holdings已不持有任何BTC和ETH,現金頭寸(包括現金和stables)共有1816萬加元,額外還有193萬加元分配給具有30天贖回通知的結構性產品。

Cypherpunk Holdings首席執行官兼總裁Jeff Gao表示,“Cypherpunk清算了其BTC和ETH資產以換取現金并撤回托管。我們看到系統性風險在整個加密生態系統中蔓延,并且評估了持有資產所涉及的風險回報和機會成本,我們認為最謹慎的做法是觀望。在關于市場條件的論點發生變化之前,我們的財庫將保持現金流。Cypherpunk維持其對加密貨幣的長期看漲前景。”(Newsfile)[2022/6/28 1:37:12]

mStable Save合約已升級支持ERC-4626標準,以推動可組合性:5月31日消息,穩定幣聚合協議mStable宣布其mStable Save產品合約現已升級,在Polygon和以太坊主網上支持ERC-4626標準。今年1月份,Fei Protocol創始人Joey Santoro和Rari Capital開發者Jet Jadeja提出一種新的擬議代幣標準ERC-4626,ERC-4626是具有單個底層ERC-20代幣的代幣化Vaults標準,包括鑄造、存款、取款和余額等標準功能,可確保不同協議的Vault代幣之間的可組合性。[2022/5/31 3:53:20]

 第三步,接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限(最小1天)進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintRewardAndShare()函數為提取函數,該函數只判斷是否達到時間期限(本次黑客設置的時間期限為最小值1天),便可無條件提取到任何非零地址。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。

前三個步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求,黑客達成他的目標。

本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制,也沒有對ETH的gas Limit進行限制,導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時,Beosin安全團隊通過Beosin Trace對被盜資金進行追蹤分析,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XEN Token換成ETH轉移。

Beosin Trace資金追蹤圖

針對本次事件,Beosin安全團隊建議:1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gas limit進行足夠小的限制。

Beosin

企業專欄

閱讀更多

白話區塊鏈

金色財經Maxwell

NFT中文社區

CoinDesk中文

達瓴智庫

去中心化金融社區

金色薦讀

肖颯lawyer

CT中文

ETH中文

ForesightNews

Tags:ETHFTXGASEOSBETHER價格FTXT幣GASC幣eos幣最新利好消息

狗狗幣
從 100 個攻擊事件分析加密攻擊類型、工具、防范方法和未來預測_CHA:WOR

加密安全啟示錄 黑客今年從加密應用程序中竊取了超過 2B 美元。DAOrayaki去中心化編輯委員會撰寫此文時,又發生兩起黑客攻擊事件:Rabby wallet 、Solana生態去中心化金融平.

1900/1/1 0:00:00
Web 3.0:偉大的騙局_WEB:加密貨幣

作者:Dave Gebler 轉自微信公號:老雅痞 雅痞注:在寒冷的熊市給大家潑一盆冷水不是我選擇本文的本意,我希望每個人都能理性的對待投資,要深刻的做自己的研究.

1900/1/1 0:00:00
你喜歡的明星和他身價不菲的猴子們_元宇宙:無聊猿頭像圖片

Justin Bieber 2022年1月30日,OpenSea 認證為 JustinBieberNFT 的地址以 500 ETH(約 130 萬美元)買入無聊猿 BAYC #3001.

1900/1/1 0:00:00
波卡:是生不逢時還是真具風險?_穩定幣:比特幣是穩定幣嗎知乎

截至2021年初以來,要說鏈圈最大兩件事兒無非是ETH 2.0向layer-2的折中過渡,以及隨著插槽拍賣帶來的波卡生態的全面爆發。在公鏈賽道上, 波卡一直被給予厚望,幣價也是一路水漲船高.

1900/1/1 0:00:00
星巴克NFT計劃的細節和思考_奧德賽:NFTD幣

上次講完星巴克的NFT實驗發現關心的小伙伴還比較多。這段時間不同渠道了解了更多細節,但一直沒空寫,拖到節前最后一天給大家快速分享下.

1900/1/1 0:00:00
《2022年Q3國內元宇宙投融資報告》發布_元宇宙:元宇宙平臺合法嗎

自從2021年,也就是“元宇宙元年”開始,大量互聯網公司陸續進入元宇宙賽道,全球投融資總額突破了百億元級別.

1900/1/1 0:00:00
ads