猖獗黑客“薅”交易所羊毛？FTX交易所遭到Gas竊取攻擊事件分析_OLA

2022年10月13日，據據Beosin EagleEye Web3安全預警與監控平臺的輿情消息，FTX交易所遭到gas竊取攻擊，黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。

金色財經邀請Beosin安全團隊第一時間對事件進行了分析，結果如下：

其中一部分攻擊交易：

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

DeGods曾向Solana基金會索要500萬美元以留在Solana鏈上:12月27日消息，一位Solana基金會的代表證實，Solana生態NFT項目DeGods曾向Solana基金會索要500萬美元以留在Solana鏈上。

此外，DeGods一名代表表示，y00ts遷移到Polygon也是有代價的，Polygon用其合作伙伴基金的贈款進行支付，交易的細節最終將公開。這項贈款將持續一年（也許兩年），而且沒有預先支付，目前尚不清楚贈款用完后會發生什么。（CoinDesk）

據金色財經此前報道，Solana生態NFT項目DeGods發推稱，將于明年第一季度橋接至以太坊，詳細信息將在準備就緒和測試后發布。此外，DeGods將于明年1月公布Season III路線圖。

Solana生態NFT項目y00ts發推稱，將于明年第一季度橋接至Polygon，詳細信息將在準備就緒和測試后發布。與此同時，y00ts將在1月發布更加正式的y00ts: Season 2路線圖。[2022/12/27 22:10:08]

其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)

挪威政府機構與安永合作開設元宇宙辦公室:10月26日消息，挪威政府機構Br?nn?ysund注冊中心與四大會計師事務所Ernst&Young（EY）合作，以新的虛擬辦公地點進入元宇宙。該中心負責管理挪威的許多公共登記冊，以及政府的數字信息交換系統。（Cointelegraph）[2022/10/26 11:45:26]

以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步，攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步，FTX熱錢包地址會向攻擊合約地址轉入小額的資金，利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約，并且每次執行完子合約之后，子合約都會自毀，所以以下圖為例部分展示。

報告：2020年4月到2022年4月加密貨幣、區塊鏈、NFT的招聘信息增加了804%:金色財經報道，一份報告顯示，從 2020 年 4 月到 2022 年 4 月，加密貨幣、區塊鏈、NFT 的招聘信息增加了 804%。全球就業門戶網站 Indeed 的報告還顯示，市場需求加速增長，到 2022 年增長 315%。? 2022 年 4 月的招聘信息是 2019 年的 15 倍，凸顯了大流行在這種持續增長中的作用。 報告顯示，Covid-19 大流行已經快速追蹤了印度跨職能技術的采用，因此對技術專業人員的需求比以往任何時候都多，尤其是在加密貨幣、NFT 和區塊鏈等新領域的專業知識。

數據還顯示，加密職位似乎是整個技術職位招聘中占比最大的職位之一，從 2019 年至 2020 年的 41.22% 增加到 2021 年至 2022 年的 67.48%。[2022/6/22 4:44:00]

中間件協議基礎設施Pocket Network與NEAR集成:5月17日消息，Web3 RPC中間件協議基礎設施Pocket Network（POKT）宣布與NEAR集成，以改善NEAR區塊鏈的網絡帶寬，同時為Web3開發人員提供更快的部署時間。

據稱，與NEAR的最新集成允許本地開發者在其他獲支持的區塊鏈上部署他們的應用程序，包括以太坊、Solana、Fuse、Avalanche、Harmony和Polygon。此外，通過與多個區塊鏈的集成，可以減少NEAR開發人員圍繞由于瓶頸或其他服務中斷而導致的單點故障的擔憂。（Cointelegraph）[2022/5/17 3:22:25]

 第三步，接下來子合約fallback()函數去向Xen合約發起鑄幣請求，如下函數，claimRank()函數傳入一個時間期限（最小1天）進行鑄幣，鑄幣條件是只用支付調用gas費，并無其他成本，并且claimMintRewardAndShare()函數為提取函數，該函數只判斷是否達到時間期限（本次黑客設置的時間期限為最小值1天），便可無條件提取到任何非零地址。但在此次調用過程中，交易發起者為FTX熱錢包地址，所以整個調用過程的gas都是由FTX熱錢包地址所支付，而Xen鑄幣地址為攻擊者地址。

前三個步驟，重復多次，并且每次重復過程中都會將已到期的代幣提取出來，并且同時發起新的鑄幣請求，黑客達成他的目標。

本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制，也沒有對ETH的gas Limit進行限制，導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時，Beosin安全團隊通過Beosin Trace對被盜資金進行追蹤分析，FTX交易所損失81ETH，黑客通過DODO，Uniswap將XEN Token換成ETH轉移。

Beosin Trace資金追蹤圖

針對本次事件，Beosin安全團隊建議：1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gas limit進行足夠小的限制。

Beosin

企業專欄

閱讀更多

白話區塊鏈

金色財經Maxwell

NFT中文社區

CoinDesk中文

達瓴智庫

去中心化金融社區

金色薦讀

肖颯lawyer

CT中文

ETH中文

ForesightNews

Tags：OLASolanaSOLLANATmoLandsolana幣官網sol幣價格最新消息

狗狗幣最新價格