2022年10月13日,據據Beosin EagleEye Web3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。
金色財經邀請Beosin安全團隊第一時間對事件進行了分析,結果如下:
其中一部分攻擊交易:
0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94
慢霧:Uwerx遭受攻擊因為接收地址會多銷毀掉from地址轉賬金額1%的代幣:金色財經報道,Uwerx遭到攻擊,損失約174.78枚ETH,據慢霧分析,根本原因是當接收地址為 uniswapPoolAddress(0x01)時,將會多burn掉from地址的轉賬金額1%的代幣,因此攻擊者利用uniswapv2池的skim功能消耗大量WERX代幣,然后調用sync函數惡意抬高代幣價格,最后反向兌換手中剩余的WERX為ETH以獲得利潤。據MistTrack分析,黑客初始資金來自Tornadocash轉入的10 BNB,接著將10 BNB換成1.3 ETH,并通過Socket跨鏈到以太坊。目前,被盜資金仍停留在黑客地址0x605...Ce4。[2023/8/2 16:14:10]
其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)
Binance上的ETH期貨未平倉合約達到1個月高點:金色財經報道,據Glassnode數據顯示,Binance上的ETH期貨未平倉合約剛剛在達到2,491,078,240.10美元的1個月高點。[2023/1/21 11:24:08]
以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀,所以以下圖為例部分展示。
鏈間流動性協議White Whale提議在Injective上推出其DApp:10月14日消息,鏈間流動性協議White Whale宣布已發起在Injective上推出其借貸和AMM DApp的鏈上治理提案。
根據該提案,White Whale計劃在Injective上部署其Liquidity Hubs,其中包含Bot First Pools(BFPs)和Flash Loan Vaults。用戶可根據套利策略產生收益,套利者可以利用Injective基礎設施設置其機器人來進行零抵押閃電貸。[2022/10/14 14:27:51]
Celo:驗證者正努力重啟網絡,目前所有資金安全:7月14日消息,Celo發推針對當前網絡停止出塊的解決進度進行了更新,驗證者正在努力重啟網絡,此前塊生產已短暫恢復,但再次停滯不前。Celo號召驗證者加入Discord上的驗證者操作頻道,并按照發布的說明更新節點,并強調目前所有資金都是安全的。[2022/7/14 2:13:29]
第三步,接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限(最小1天)進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintRewardAndShare()函數為提取函數,該函數只判斷是否達到時間期限(本次黑客設置的時間期限為最小值1天),便可無條件提取到任何非零地址。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。
前三個步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求,黑客達成他的目標。
本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制,也沒有對ETH的gas Limit進行限制,導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時,Beosin安全團隊通過Beosin Trace對被盜資金進行追蹤分析,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XEN Token換成ETH轉移。
Beosin Trace資金追蹤圖
針對本次事件,Beosin安全團隊建議:1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gas limit進行足夠小的限制。
Beosin
企業專欄
閱讀更多
白話區塊鏈
金色財經Maxwell
NFT中文社區
CoinDesk中文
達瓴智庫
去中心化金融社區
金色薦讀
肖颯lawyer
CT中文
ETH中文
ForesightNews
Tags:ETHFTXEOSGASethical詞根CITIES Vault (NFTX)eos幣還有希望嗎MEGASHIB幣
CoinGecko考察了自 2020 年以來獨立或與合作伙伴推出可交易NFT 系列的歐美“傳統”品牌。隨著2021年帶起的NFT熱潮,有越來越多的品牌加入了 NFT 的行列.
1900/1/1 0:00:00加密交易所一度盛行的Launchpad被NFT交易平臺借鑒。9月20日,OpenSea官方宣布即將推出SeaDrop功能,支持NFT項目直接在平臺上啟動和鑄造.
1900/1/1 0:00:00瑞典央行表示央行數字貨幣不可能復制現金的功能:瑞典的中央銀行(Riksbank)在探索數字貨幣的可行性方面做了比大多數其他機構更多的研究,它表示,根據周二發布的一份報告.
1900/1/1 0:00:00FTX 創辦人Sam Bankman-Fried(SBF)上周作客知名區塊鏈Podcast《UNCHAINED》.
1900/1/1 0:00:00原文作者:azf.eth原文來源:twitterWeb3的未來將不僅僅是PFP的jpegs、NFT市場、CEXs/DEXs和DeFi協議.
1900/1/1 0:00:00作者 | XiaoZ@iNFTnews.com近日,一家名為名堂Mint Town的數藏平臺正式上線,在發售首日便吸引了眾多用戶哄搶.
1900/1/1 0:00:00