以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

猖獗黑客“薅”交易所羊毛?FTX交易所遭到Gas竊取攻擊事件分析_FTX

Author:

Time:1900/1/1 0:00:00

2022年10月13日,據據BeosinEagleEyeWeb3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。

金色財經邀請Beosin安全團隊第一時間對事件進行了分析,結果如下:

1、事件相關信息

其中一部分攻擊交易:

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

馬斯克在與美國SEC的“推特監管者”糾紛中敗訴:金色財經報道,馬斯克在與美國證券交易委員會的“推特監管者”糾紛中敗訴,此前馬斯克請求法院撤銷他與監管機構在2018年達成的協議,該協議要求特斯拉公司的一名律師審查他所有與公司相關的推特發布內容,并稱其違反了他言論自由權利。[2023/5/15 15:04:23]

其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)

美國參議院就銀行倒閉潮舉行聽證會:銀行管理不善是主因:金色財經報道,當地時間5月4日,美國參議院銀行委員會就近期大型銀行倒閉事件舉行聽證會。會上,銀行監管專家表示,管理不善是導致破產的主要原因。美國商會副主席托馬斯·昆德曼(Thomas Quaadman)當天在聽證會上表示,硅谷銀行、簽名銀行和第一共和銀行有非常獨特的商業模式,硅谷銀行專注于資本密集型的科技以及生物醫學初創企業;第一共和銀行集中于財富管理;而簽名銀行則有大量的數字資產風險。在聽證會上,專家們明確將最近銀行倒閉潮歸咎于行政管理不善,同時他們擔心銀行倒閉會將美國經濟拖入衰退。專家和議員們也表示,美聯儲存在監管失誤。(央視新聞)[2023/5/5 14:43:25]

2、攻擊流程

參議員Pat Toomey抨擊國會未能適時出臺加密貨幣法規:金色財經報道,賓夕法尼亞州共和黨人Pat Toomey周五在推特上寫道,美國證券交易委員會的敵意和缺乏透明度,以及未能通過監管護欄,已經\"產生了大量的法律不確定性”。

他補充說:\"這些失敗促使加密貨幣發展到外國司法管轄區,這些司法管轄區幾乎沒有或沒有足夠的監管,\"他提到了總部設在巴哈馬的失敗的加密貨幣交易所FTX的崩潰。Toomey認為,如果有一個 \"合理的、立法授權的美國數字資產監管框架\",破產對美國人的影響可能會得到緩解。(the block)[2022/11/13 12:56:34]

以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀,所以以下圖為例部分展示。

推特用戶稱監測到黑客通過釣魚網站盜走29枚MoonbirdsNFT:5月26日消息,推特用戶Andeh#OnChain稱監測到ID為@Dvincent_(該賬戶目前已被注銷)的用戶通過釣魚網站p2peers.io盜走了29枚Moonbirds系列NFT,價值超70萬美元,該網站目前已無法訪問。該用戶表示,sarek.fi和p2peers.io都曾在過去的黑客事件中被使用,推特ID為@just1n_eth的BAYC系列NFT持有者也表示@Dvincent_曾與其聯系交易BAYCNFT,但由于對方堅持使用p2peers.io,所以最后并未進行交易。[2022/5/26 3:42:45]

?第三步,接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintRewardAndShare()函數為提取函數,該函數只判斷是否達到時間期限,便可無條件提取到任何非零地址。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。

前三個步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求,黑客達成他的目標。

3、漏洞分析

本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制,也沒有對ETH的gasLimit進行限制,導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時,Beosin安全團隊通過BeosinTrace對被盜資金進行追蹤分析,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XENToken換成ETH轉移。

BeosinTrace資金追蹤圖

4、事件總結

針對本次事件,Beosin安全團隊建議:1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gaslimit進行足夠小的限制。

Tags:FTXGASEOSSINKAMAX Vault (NFTX)bnb騙局gas費EOS AuctionSIMPSONSINU幣

幣安app下載
全球虛擬資產中心的桂冠 香港要如何拿下?_虛擬資產

作者:潤升,ChainCatcher原文:《香港競爭全球虛擬資產中心,何以可能?》單在亞洲范圍內,就有東京、新加坡、首爾、曼谷、胡志明等城市相繼宣布要打造加密金融中心和虛擬資產中心.

1900/1/1 0:00:00
歐盟立法者批準MiCA法案以規范加密貨幣_ICA

金色財經報道,歐洲議會經濟和貨幣事務委員會(ECON)批準了加密資產市場監管(MiCA)的批準文本.

1900/1/1 0:00:00
為什么說DWeb才是下一代互聯網的核心?_WEB

Dweb 互聯網早期具有開放性,供用戶分享信息以及溝通交流的特點,這一階段被稱為Web1.0。隨著互聯網科技的蓬勃發展,互聯網大范圍的普及帶來更多的互動與信息交流,拉開了Web2.0的帷幕.

1900/1/1 0:00:00
重新思考DeFi代幣經濟學 理想的代幣模式是什么?_GMX

作者:WillComyns代幣必須開始提供收入份額以及治理。 代幣是一種收益權 現代代幣設計的基礎工具可以追溯到減少實用代幣速度的目標.

1900/1/1 0:00:00
“猴子”被美國SEC調查:推廣NFT與元宇宙的法律注意事項_NFT

作者?|?Gulovsen?Law?Office吳說區塊鏈授權翻譯、編輯、發布10月11日,彭博社報道美國SEC正在調查BAYC的開發公司YugaLabs.

1900/1/1 0:00:00
一文盤點八大 Layer 2 項目最新動態_以太坊

以太坊合并后,Layer2生態板塊發展迅速。L2在三季度TVL增加了97.1%,除此之外,Layer2生態項目也取得很多進展,本文將Layer2重點項目進行盤點,并梳理其最新動態.

1900/1/1 0:00:00
ads