Beosin發布FTX遭遇的Gas竊取攻擊事件技術分析：FTX交易所已損失81 ETH_EOS

據BeosinEagleEyeWeb3安全預警與監控平臺的輿情消息，FTX交易所遭到gas竊取攻擊，黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。Beosin安全團隊對此事分析如下：

1.以其中一筆攻擊交易為例

(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)，攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)。

Beosin成為BNB Chain Kickstart Program官方安全審計服務商:據官方消息，近日，區塊鏈安全公司Beosin宣布正式成為BNB ChainKickstart Program官方安全審計服務商。據了解，BNB Chain啟動的“Kickstart Program”計劃，旨在幫助區塊鏈開發人員在業內機構的支持下開始他們的項目。[2023/2/16 12:10:16]

2.FTX熱錢包地址會向攻擊合約地址轉入小額的資金，利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約，并且每次執行完子合約之后，子合約都會自毀。

Beosin：10月區塊鏈生態安全事件損失總金額約9億8104萬美元:金色財經報道，據 Beosin EagleEye 安全預警與監控平臺監測顯示，2022 年 10 月，各類安全事件數量和涉及金額較 9 月大幅上升。10 月發生較典型安全事件超 25 起，其中攻擊類安全事件損失總金額約 9.8104 億美元，約為 9 月損失金額的 5.97 倍。10 月為 2022 年以來區塊鏈領域損失金額最高的一個月，有 60% 的攻擊事件來自合約漏洞利用。[2022/10/31 12:01:06]

3.接下來子合約fallback()函數去向Xen合約發起鑄幣請求，如下函數，claimRank()函數傳入一個時間期限進行鑄幣，鑄幣條件是只用支付調用gas費，并無其他成本，并且claimMintReward()函數為提取函數，該函數只判斷是否達到時間期限，便可無條件提取。但在此次調用過程中，交易發起者為FTX熱錢包地址，所以整個調用過程的gas都是由FTX熱錢包地址所支付，而Xen鑄幣地址為攻擊者地址。

巧克力COCO智能合約已通過Beosin(成都鏈安）安全審計:據官方消息，Beosin（成都鏈安）近日已完成巧克力coco智能合約項目的安全審計服務。據介紹，巧克力COCO是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合波場TICP跨鏈協議，訂單簿DEX，智能挖礦等等功能的創新和聚合，進而打造全面去中心化金融平臺。巧克力COCO無ICO、零預挖且零私募，社區高度自治。合約地址：THTpbtqfoGmL6HwqaGrWKd7aJAcUTbCnoC審計報告編號：202010042149[2020/10/5]

4.1-3中的步驟，重復多次，并且每次重復過程中都會將已到期的代幣提取出來，并且同時發起新的鑄幣請求。

截止發文時，通過BeosinTrace追蹤發現，FTX交易所損失81ETH，黑客通過DODO、Uniswap將XEN代幣換成ETH轉移。

此前早些時候消息，FTX遭受GAS竊取攻擊，黑客零成本鑄造XEN代幣17000次。

相關閱讀：0成本獲利80ETH，黑客是如何利用FTX鑄造超1億枚XEN？

Tags：EOSSINFTXXENeosdac幣有發展前景嗎kingsinbaMilady Vault (NFTX)Xeniumx

幣贏