2022年10月13日,據據Beosin EagleEye Web3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。
金色財經邀請Beosin安全團隊第一時間對事件進行了分析,結果如下:
其中一部分攻擊交易:
0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94
美國第一公民銀行將繼續尋求收購硅谷銀行:金色財經報道,美國第一公民銀行(FIRST CITIZENS)將繼續尋求收購硅谷銀行。美國第一公民銀行或參加本周硅谷銀行的分拆拍賣。據悉周日將再次出價整體收購硅谷銀行。[2023/3/21 13:15:31]
其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)
以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀,所以以下圖為例部分展示。
RTFKTxRIMOWA合作款NFT將于10月27日開啟抽獎和鑄造活動:10月24日消息,耐克旗下加密時尚潮牌RTFKT與精品旅行箱品牌RIMOWA合作推出的NFT將于10月27日在On Cyber??開啟抽獎和鑄造活動,包括價格0.08ETH、限量2222個的Worker BotNFT以及價格2.3ETH、限量888個的Cabin Luggage NFT。Cabin LuggageNFT持有者將能夠在活動中兌換(鍛造)限量版的實體RTFKTxRIMOWA原創行李箱。
活動期間,Cabin LuggageNFT持有者將有權解鎖新的RTFKTxRIMOWANFT以及下載對應3D文件。Worker BotNFT持有者隨后將有權下載3D文件,但Worker Bot NFT在活動期間將不能被鑄造。[2022/10/25 16:37:32]
以太坊客戶端Teku發布22.10.1版本,包含自愿退出命令改進:10月11日消息,以太坊客戶端 Teku 發布 Teku v22.10.1。Teku 建議更新該版本,包含錯誤修復、優化和自愿退出命令改進。[2022/10/11 10:31:16]
第三步,接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限(最小1天)進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintRewardAndShare()函數為提取函數,該函數只判斷是否達到時間期限(本次黑客設置的時間期限為最小值1天),便可無條件提取到任何非零地址。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。
韓國政府的YouTube頻道被黑以播放加密視頻:9月3日,據消息人士稱,韓國政府的YouTube頻道周六遭到黑客攻擊,目的是為了播放與加密貨幣相關的視頻,但目前已恢復。
據悉,凌晨3點30分,韓國政府的YouTube頻道的名稱更名為“SpaceX Invest”,并播放了加密貨幣直播,其中包括對馬斯克的采訪。管理YouTube賬號的文化和旅游部官員表示,他們已于早上6點了解情況,采取安全措施,并于早上7點20分恢復了賬號。該官員稱,該賬戶的ID和密碼被懷疑被盜。
YouTube的母公司谷歌證實該頻道已被黑客入侵。谷歌韓國的一位官員表示,目前正在調查事件的原因。(韓聯社)[2022/9/3 13:06:50]
前三個步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求,黑客達成他的目標。
本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制,也沒有對ETH的gas Limit進行限制,導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時,Beosin安全團隊通過Beosin Trace對被盜資金進行追蹤分析,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XEN Token換成ETH轉移。
Beosin Trace資金追蹤圖
針對本次事件,Beosin安全團隊建議:1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gas limit進行足夠小的限制。
Beosin
企業專欄
閱讀更多
白話區塊鏈
金色財經Maxwell
NFT中文社區
CoinDesk中文
達瓴智庫
去中心化金融社區
金色薦讀
肖颯lawyer
CT中文
ETH中文
ForesightNews
現代快報訊(通訊員 劉秀明 翁志娟 記者 曹德偉)隨著互聯網的迅猛發展,網絡犯罪日益增多,花樣層出不窮。近日,鎮江市潤州區檢察院對一個以涉嫌組織、領導傳銷活動罪的團伙提起公訴.
1900/1/1 0:00:00BNB Chian是如何被攻擊的?黑客盜取金額具體有多少?黑客為何又是選取跨鏈橋攻擊?幣安鏈本身安全嗎?怎么看黑客攻擊后幣安鏈被暫停?被盜資產結局會如何?對社區有何新啟示?上述問題用戶迫切想知道.
1900/1/1 0:00:00北京時間2022年10月11日21:11:11,CertiK Skynet天網檢測到項目Temple DAO遭到黑客攻擊,損失約230萬美元.
1900/1/1 0:00:00咖啡品牌星巴克剛剛公布的 NFT 計劃,據說是有史以來最大的 NFT 忠誠度計劃,將為會員帶來「革命性」的 Web3 體驗。同一時間,加密幣大跌,英超聯賽宣布擱置 NFT 計劃.
1900/1/1 0:00:00作者 | Gulovsen Law Office吳說區塊鏈授權翻譯、編輯、發布10月11日.
1900/1/1 0:00:00編者按:盡管去年 Meta 收入首次出現了下降,盡管遭遇了通貨膨脹和經濟低迷,但該公司仍義無反顧地對元宇宙押下重注.
1900/1/1 0:00:00