據BeosinEagleEyeWeb3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。Beosin安全團隊對此事分析如下:
1.以其中一筆攻擊交易為例
(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)。
Beosin成為BNB Chain Kickstart Program官方安全審計服務商:據官方消息,近日,區塊鏈安全公司Beosin宣布正式成為BNB ChainKickstart Program官方安全審計服務商。據了解,BNB Chain啟動的“Kickstart Program”計劃,旨在幫助區塊鏈開發人員在業內機構的支持下開始他們的項目。[2023/2/16 12:10:16]
2.FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀。
Beosin:10月區塊鏈生態安全事件損失總金額約9億8104萬美元:金色財經報道,據 Beosin EagleEye 安全預警與監控平臺監測顯示,2022 年 10 月,各類安全事件數量和涉及金額較 9 月大幅上升。10 月發生較典型安全事件超 25 起,其中攻擊類安全事件損失總金額約 9.8104 億美元,約為 9 月損失金額的 5.97 倍。10 月為 2022 年以來區塊鏈領域損失金額最高的一個月,有 60% 的攻擊事件來自合約漏洞利用。[2022/10/31 12:01:06]
3.接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintReward()函數為提取函數,該函數只判斷是否達到時間期限,便可無條件提取。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。
巧克力COCO智能合約已通過Beosin(成都鏈安)安全審計:據官方消息,Beosin(成都鏈安)近日已完成巧克力coco智能合約項目的安全審計服務。據介紹,巧克力COCO是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合波場TICP跨鏈協議,訂單簿DEX,智能挖礦等等功能的創新和聚合,進而打造全面去中心化金融平臺。巧克力COCO無ICO、零預挖且零私募,社區高度自治。合約地址:THTpbtqfoGmL6HwqaGrWKd7aJAcUTbCnoC審計報告編號:202010042149[2020/10/5]
4.1-3中的步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求。
截止發文時,通過BeosinTrace追蹤發現,FTX交易所損失81ETH,黑客通過DODO、Uniswap將XEN代幣換成ETH轉移。
此前早些時候消息,FTX遭受GAS竊取攻擊,黑客零成本鑄造XEN代幣17000次。
相關閱讀:0成本獲利80ETH,黑客是如何利用FTX鑄造超1億枚XEN?
Tags:EOSSINFTXXENeosdac幣有發展前景嗎kingsinbaMilady Vault (NFTX)Xeniumx
PANews11月27日,知名科技博主JaneManchunWong表示,推特將集成Signal協議用于開發加密私信功能,在推特的IOS應用中能看到Signal協議的代碼采用.
1900/1/1 0:00:00在貸款協議MangoMarkets遭遇1.14億美元的黑客攻擊后,兩個位于Solana的DeFi協議已經重新開放.
1900/1/1 0:00:00風投巨頭AndreessenHorowitz不支持MakerDAO聯合創始人RuneChristensen將MakerDAO拆分為更小單元的想法.
1900/1/1 0:00:00Coinbase近日發布公告稱除了其在FTX上有1500萬美元的存款,此外沒有接觸AlamedaResearch,也沒有向FTX提供貸款.
1900/1/1 0:00:00據韓聯社報道,韓國金融服務委員會宣布將制定以虛擬資產市場投資者保護為中心的監管制度。金融委員會秘書長在首爾站智能工作中心與金融科技和區塊鏈行業官員舉行會議時表示:“我們將尋求能夠平衡創新、消費者.
1900/1/1 0:00:00Terra開發人員本周早些時候提出一項新提案“TerraExpedition”,希望恢復其生態系統.
1900/1/1 0:00:00