Beosin安全團隊針對FTX遭Gas竊取攻擊事件分析稱,以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)。
Beosin:ETH鏈上COPE代幣項目存在后門:金色財經報道,區塊鏈安全審計公司Beosin旗下Beosin?EagleEye安全風險監控、預警與阻斷平臺監測顯示,ETH鏈上COPE 代幣項目存在后門,特權地址可以調用偽造的Approve銷毀任意地址的余額。提醒用戶注意資金安全。[2023/7/21 15:50:29]
FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀。
Beosin:Ara項目被攻擊的根本原因是合約中處理權限存在漏洞:6月19日消息,Beosin Alert發推稱,Ara項目被攻擊的根本原因是合約中處理權限存在漏洞。0xB817開頭地址批準了大量ARA與USDT交換合約,它沒有限制從調用者轉移的用于交換的資金。[2023/6/19 21:46:59]
接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintReward()函數為提取函數,該函數只判斷是否達到時間期限,便可無條件提取。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的Gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。
Beosin:10月區塊鏈生態安全事件損失總金額約9億8104萬美元:金色財經報道,據 Beosin EagleEye 安全預警與監控平臺監測顯示,2022 年 10 月,各類安全事件數量和涉及金額較 9 月大幅上升。10 月發生較典型安全事件超 25 起,其中攻擊類安全事件損失總金額約 9.8104 億美元,約為 9 月損失金額的 5.97 倍。10 月為 2022 年以來區塊鏈領域損失金額最高的一個月,有 60% 的攻擊事件來自合約漏洞利用。[2022/10/31 12:01:06]
前三個步驟重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求。
截止發文時,通過BeosinTrace追蹤發現,FTX交易所損失81ETH,黑客通過DODO、Uniswap將XENToken換成ETH轉移。
Tags:SINEOSFTXETHSINX TokenEOST幣CLOCK Vault (NFTX)Ethereum Supreme
作者:ColinWu,吳說吳說獨家獲悉,10月8日凌晨,火幣正式完成財務對賬、交割簽字,被香港百域資本旗下并購基金收購,百域資本成為第一大股東與實控人。收購的主要是火幣創始人李林的股份.
1900/1/1 0:00:00鏈捕手消息,據TechCrunch報道,尼日利亞區塊鏈支付初創公司Bitmama完成200萬美元pre-seed輪融資.
1900/1/1 0:00:00鏈捕手消息,去中心化機器學習協議ChainML宣布完成400萬美元種子輪融資,IOSGVentures領投,HashKey、SNZ、Chainlink、硅谷高管以及一些天使投資人參投.
1900/1/1 0:00:00原文標題:《Gitcoin推出的GrantsProtocol將如何改變鏈上融資與捐贈》作者:Maxlion,Odaily星球日報10月7日,據官方推特.
1900/1/1 0:00:00鏈捕手消息,去中心化債券生態平臺D/Bond宣布,將于北京時間9月25日早上5:59時開啟為期30天的紀念D/NFT預售,用戶登錄debond.org/nft可免費或以折扣價mint.
1900/1/1 0:00:00作者:RyanSeanAdams,DavidHoffman,Bankless 編譯:DeFi之道 近期,Bankless的兩位聯合創始人RyanSeanAdams以及DavidHoffman.
1900/1/1 0:00:00