0成本獲利80ETH，黑客是如何利用FTX鑄造超1億枚XEN？_NEAR

我們知道最近有個火爆的token，叫做XEN，只需要付出gas費就能鑄造大量代幣，那有沒有辦法讓別人替我們支付gas費呢，最近就有一個黑客正在讓FTX幫他付錢。

漏洞原理：

攻擊準備階段：

10月10日，攻擊者0x1d371CF00038421d6e57CFc31EEff7A09d4B8760在鏈上部署了攻擊合約

攻擊階段：

FTX交易所出金熱錢包地址向攻擊合約連續進行0.0035ETH左右的小額ETH轉賬，如下圖所示：

瑞信將向瑞士央行借款至多500億瑞郎:金色財經報道，瑞信表示，計劃通過一個擔保貸款項目向瑞士央行借款至多500億瑞郎。瑞信還宣布，瑞信國際擬以不超過30億瑞郎現金回購某些OpCo高級債務證券。瑞信在聲明中表示，這筆額外的流動性將支持瑞信的核心業務和客戶。瑞信將采取必要措施來創建一個更簡單，更專注于客戶需求的銀行。瑞信還就10種美元計價高級債務證券提出現金收購要約，總代價不超過25億美元；還宣布另外一項現金要約，涉及4種歐元計價高級債務證券，總代價不超過5億歐元。兩項要約均須滿足要約備忘錄所載的多項條件，要約于3月22日到期。[2023/3/16 13:07:09]

進一步查看交易詳情，每次交易攻擊合約均創建了1～3個子合約，這些子合約先進行XENToken的Mint或Claim。最終這些合約會自我銷毀。這些操作都由FTX熱錢包地址支付gas費。

惠譽評級：穩定幣的風險超出儲備實踐:金色財經報道，美國信用評級機構惠譽評級表示，主要穩定幣的儲備做法變得更加保守，但穩定幣持有者繼續面臨其他風險來源，其中一些風險因主要加密貨幣實體的倒閉而受到關注。其中包括不完整的證明、穩定幣持有者合法權利的弱點，以及與加密貨幣生態系統相關的傳染風險。

Tether (USDT)、Circle (USDC) 和Binance (BUSD) 這三個主要的穩定幣發行人仍然很重要，截至 2022年底，總流通供應量超過1270億美元，幾乎占穩定幣行業的90%。Tether表示在2022年將其商業票據敞口減少240億美元。盡管如此，與貨幣市場基金相比，USDT和BUSD的價格波動仍然較高。這反映了圍繞儲備做法和透明度的揮之不去的風險，以及其他因素，如傳染風險、交易對手風險、穩定幣持有人的合法權利（特別是贖回權）和運營風險，包括網絡風險。

除其他事項外，主要穩定幣仍不普遍提供贖回法定貨幣或替代資產的保證時間表。這可能會成為監管機構關注的焦點——例如，新加坡擬議的對穩定幣發行人的監管將加強這方面的要求。惠譽預計主要穩定幣與更廣泛的加密行業之間的密切聯系仍將是監管機構關注的焦點。[2023/1/13 11:09:30]

彭博社：Gemini首席運營官Noah Perlman已離職:1月5日消息，一位知情人士透露， Gemini Trust Co.首席運營官Noah Perlman已離開這家由Tyler Winklevoss和Cameron Winklevoss創立的加密貨幣公司，該公司正尋求應對近期數字資產市場的動蕩。

據悉，Perlman于2019年加入Gemini，擔任首席合規官。在此之前，他曾在摩根士丹利工作。Perlman的LinkedIn個人資料顯示，他一直擔任Gemini首席運營官一職至2023年1月。（彭博社）[2023/1/5 9:53:53]

Stader：攻擊者利用NearX漏洞未抵押任何NEAR鑄造2000萬枚NearX，已暫停NearX合約操作:8月17日消息，質押平臺Stader更新其NEAR質押解決方案NearX智能合約遭攻擊事件，團隊在發現問題后設法修復問題并保護大部分用戶的資金，目前StaderDApp上質押的約250萬枚NEAR是安全的，本次攻擊損失主要與LPNEAR流動性有關。另外，團隊已暫停對NearX合約的任何操作，正在與Halborn和BlockSec近一步調查問題和進行壓力測試。具體攻擊方式為：

一、Stader在NEAR上的智能合約存在與NearX鑄幣相關的漏洞，攻擊者（gregoshes.near）利用這一點并通過將NearX循環轉移到其自己的地址來鑄造2000萬枚NearX，但是沒有抵押任何NEAR；

二、攻擊者將鑄造的NearX在RefFinance和JumboExchange的Near/NearX流動性池中兌換為NEAR，耗盡所有NEAR流動性；

三、團隊暫停了NearX智能合約和NearX所有交易；

四、預計損失為16.5萬NEAR，目前正在確定具體數字。[2022/8/17 12:31:18]

攻擊損失：

截止目前，FTX交易所因為GAS竊取漏洞共損失了81+ETH，黑客地址已獲得超過1億個XENToken，并通過DoDo，Uniswap等去中心化交易所將部分XEN代幣換成61個ETH，并入金到FTX以及Binance交易所。

我們對該攻擊進行了鏈上監控，目前僅感知到FTX交易所面臨此類攻擊。然而針對FTX的GAS竊取攻擊仍在進行中。以下為攻擊者部署的合約地址：

0xcba9b1fd69626932c704dac4cb58c29244a47fd3

0x6a6474d79536c347d6df1e5f1ce9be12613a13c6

0x51125a7d015eddc3dbef138a39ba091863d1f155

0x6438162e69037c452e8af5d6ae70db1515324a3d

0xb69d4de5991fa3ded39c27ed88934a106f0af19e

0x8b2550add3c5067ca7c03b84e1e37b14b35aa1e5

0x2e1891de1e334407fafaab09ac545bb9e4099833

0xebe5cccc75b4ec5d6d8c7a3a8cee0d8c0e821584

0xcf0da9cea8403ff1e3ed6db93f3badc885c24522

0x524db09476bb87b581e1c95fbf37383661d1829a

0x1afd71464dd7485f8b3cea7c658c6a1e2b3e77a4

0xfc3ee819f873050f7f3bbce8b34ba9df4c44b5d0

0xb6bdf9eb331d0109dd3ba1018f119c59341fbb40

0x8e2b77c3c8d6e908aea789864e36a07bea1aaf58

0x46666a93b1f83b4c475b870dc67dc0dbd8a16607

0x15e5bf7f142ffa6f5eb7e1a30725603c97c2d0d6

0x6845eebc315109a770dcc7a43ed347405a82e94b

漏洞分析：

FTX錢包安全：既沒有對接收方地址為合約地址進行任何限制。也沒有對ETH原生Token的轉賬GASLimit進行限制，而是采用estimateGas方法評估手續費，這種方法導致GASLIMIT大部分為500,000，超出默認21,000值的24倍。FTX出金安全：從FTX出金熱錢包地址的出金中存在大量相同出金地址的小額轉賬。為明顯出金異常事件。

FTX業務安全：FTX提幣免手續費，給攻擊者零成本竊取帶來極大便利。

Tags：NEARFTXARX穩定幣near幣前景怎么樣MANEKI Vault (NFTX)ARXO價格算法穩定幣有哪些

火幣交易所