比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

ETH:猖獗黑客“薅”交易所羊毛?FTX交易所遭到Gas竊取攻擊事件分析_FTX

Author:

Time:1900/1/1 0:00:00

2022年10月13日,據據BeosinEagleEyeWeb3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。

金色財經邀請Beosin安全團隊第一時間對事件進行了分析,結果如下:

1、事件相關信息

其中一部分攻擊交易:

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

ETH 2.0總質押數已超1688.13萬:金色財經報道,數據顯示,ETH 2.0總質押數已超1688.13萬,為16881335個,按當前市場價格,價值約279.01億美元。此外,目前ETH 2.0質押總地址數已超54.06萬,為540649個。[2023/2/26 12:29:40]

其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)

數據:持有1000枚ETH的地址數量達1個月高點:金色財經報道,據Glassnode數據,持有1000枚ETH地址數量達到6595的1個月來的最高值。[2023/1/22 11:25:25]

2、攻擊流程

以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀,所以以下圖為例部分展示。

NFT鑄造平臺Nameless推出Web3測試網工具StealthTest:9月27日消息,NFT鑄造平臺Nameless宣布推出測試網Web3軟件即服務工具StealthTest,旨在改進NFT項目測試和質量保證,解決新興Web3行業中的關鍵基礎設施和部署問題。

該工具能讓Web3開發人員訪問以太坊、IPFS和Arweave的私有測試網,以便在NFT項目生命周期內廣泛測試智能合約,提升項目安全性。(Einnews)[2022/9/27 22:32:25]

Web3公司Novajax收購街頭服飾品牌Jobedu:5月30日消息,美國Web3公司Novajax收購約旦街頭服飾品牌Jobedu,具體金額未披露。

據悉,Ego’s Paradise是Novajax的首個PFP NFT項目,是由Tamer AlMasri手繪的10000個PFP組成的NFT社區。(Wamda)[2022/5/30 3:51:04]

?第三步,接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintRewardAndShare()函數為提取函數,該函數只判斷是否達到時間期限,便可無條件提取到任何非零地址。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。

前三個步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求,黑客達成他的目標。

3、漏洞分析

本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制,也沒有對ETH的gasLimit進行限制,導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時,Beosin安全團隊通過BeosinTrace對被盜資金進行追蹤分析,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XENToken換成ETH轉移。

BeosinTrace資金追蹤圖

4、事件總結

針對本次事件,Beosin安全團隊建議:1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gaslimit進行足夠小的限制。

Tags:ETHFTXWEB3WEBETHVRINGER Vault (NFTX)WEB3Tokenweb3域名值錢嗎

萊特幣最新價格
COS:Cosmos模塊化功能鏈 走向億級用戶的超級Dapp時代_BLOSM

原文標題:《單體Aptos,模塊Cosmos,應用互聯網是華人創業的新主場嗎?》原文作者:R3PO 前言 加密不缺故事,而Aptos貢獻了一次事故.

1900/1/1 0:00:00
區塊鏈:金色早報 | 英國計劃成為加密貨幣和區塊鏈中心_arweave幣價

頭條 ▌英國計劃成為加密貨幣和區塊鏈中心金色財經報道,將區塊鏈技術用作存儲文件的解決方案所必需的立法已獲得英國政府的批準。在10月13日的新聞稿中英國宣布,希望在處理官方文件時不再使用紙張.

1900/1/1 0:00:00
PIC:在PICO和Meta的內容生態里 我們已能窺見元宇宙的未來_PICO

在上次的分享里,我們為大家總結了MetaQuestPro和PICO4Pro的硬件參數對比。從中可見,這兩款設備的性能從各方面講都難分伯仲,真正的勝負手應該還是落在了”軟件生態“這個環節.

1900/1/1 0:00:00
以太坊:新手指南:以太坊面臨的審查威脅以及解決方案_ETHE

文:DonovanChoy 來源:Bankless 以太坊尚未實現抗審查……以下是開發者正在采取的措施。2022年8月8日,美國財政部制裁了TornadoCash.

1900/1/1 0:00:00
NFT:金色早報 | FTX US可能禁止被定義為證券的代幣上市_加密貨幣怎么賺錢

頭條 ▌FTXUS可能禁止被定義為證券的代幣上市金色財經報道,加密貨幣交易所FTX美國分公司打算開始分析代幣,以確定它們是否有資格作為證券.

1900/1/1 0:00:00
APT:Aptos、Solana和新公鏈周期律_solana幣什么意思

原文標題:《Aptos、Solana和新公鏈周期律》撰文:王葉,MintVentures研究員前段時間筆者受巴比特之邀,參與「Web3Builder,無問西東」活動.

1900/1/1 0:00:00
ads