以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > BTC > Info

0成本獲利80ETH,黑客是如何利用FTX鑄造超1億枚XEN?_FTX

Author:

Time:1900/1/1 0:00:00

我們知道最近有個火爆的token,叫做XEN,只需要付出gas費就能鑄造大量代幣,那有沒有辦法讓別人替我們支付gas費呢,最近就有一個黑客正在讓FTX幫他付錢。

漏洞原理:

攻擊準備階段:

10月10日,攻擊者0x1d371CF00038421d6e57CFc31EEff7A09d4B8760在鏈上部署了攻擊合約

攻擊階段:

FTX交易所出金熱錢包地址向攻擊合約連續進行0.0035ETH左右的小額ETH轉賬,如下圖所示:

美SEC主席:除比特幣外,幾乎所有類型的加密交易都已屬SEC管轄范圍:金色財經報道,美國證券交易委員會(SEC)主席GaryGensler 2月在接受New York Magazine采訪時表示,除了比特幣之外的一切,實際上都是屬于SEC管轄范圍內的證券交易,幾乎所有類型的加密交易都已經屬于SEC的管轄范圍。(New York Magazine)[2023/3/7 12:46:30]

進一步查看交易詳情,每次交易攻擊合約均創建了1~3個子合約,這些子合約先進行XENToken的Mint或Claim。最終這些合約會自我銷毀。這些操作都由FTX熱錢包地址支付gas費。

灰度比特幣信托負溢價率擴大至48.32%:金色財經報道,根據Tokenview鏈上數據顯示,當前灰度總持倉量達145.9億美元,主流幣種信托溢價率如下:

BTC,-48.32%;

ETH,-57.69%;

ETC,-73.62%;

LTC, -63.29%;

BCH,-57.78%。[2022/12/28 22:12:10]

庫里因推廣“無聊猿”BAYC遭投資者起訴:12月13日消息,NBA金州勇士隊球星史蒂芬·庫里又因為推廣NFT系列“無聊猿”Bored Ape Yacht Club面臨新的加密訴訟。據悉,兩名購買ApeCoin的投資者在洛杉磯聯邦法院起訴了“無聊猿”BAYC NFT系列母公司Yuga Labs以及公司高管、董事會成員、以及史蒂芬·庫里、麥當娜、帕麗斯·希爾頓、塞雷娜·威廉姆斯、賈斯汀·比伯、吉米·法倫等一眾名人。

據悉,由于FTX Ventures是Yuga Labs的投資方,作為Ape DAO董事會成員的Amy Wu利用她在加密貨幣交易平臺FTX的關系招募史蒂芬·庫里以推動BAYC的銷售,這些所謂的“名人代言”均未“披露相關的潛在經濟利益和關系”。[2022/12/13 21:41:06]

攻擊損失:

報告:以太坊有更多DApp的主要原因在于文化因素:金色財經消息,BitMEX Research最近發布了一份報告,詳細描述了為什么是以太坊成為了DApp以及加密貨幣領域開發者活動的中心而不是比特幣。雖然存在技術上的差異,但該團隊聲稱,在以太坊推出之前,比特幣的開發者文化使替代用例遠離了其生態系統。

該報告探討了2014年3月比特幣核心開發人員關于比特幣應用層的在線討論。他們在當年年初推出了交易對手協議(Counterparty Protocol),這是一個用于創建新代幣并在分布式交易所中交易的Layer 2解決方案。

Counterparty使用OP_Return存儲數據。BitMEX解釋說:“該功能可用于銷毀比特幣或在比特幣區塊鏈中存儲任意數據。”有人認為,這些類型的交易有助于比特幣擴容,因為它們不需要pruned比特幣節點來存儲數據。這使得普通人運行一個節點的存儲密度更低,有助于比特幣保持其去中心化。(Crypto Potato)[2022/7/16 2:17:54]

截止目前,FTX交易所因為GAS竊取漏洞共損失了81+ETH,黑客地址已獲得超過1億個XENToken,并通過DoDo,Uniswap等去中心化交易所將部分XEN代幣換成61個ETH,并入金到FTX以及Binance交易所。

我們對該攻擊進行了鏈上監控,目前僅感知到FTX交易所面臨此類攻擊。然而針對FTX的GAS竊取攻擊仍在進行中。以下為攻擊者部署的合約地址:

0xcba9b1fd69626932c704dac4cb58c29244a47fd3

0x6a6474d79536c347d6df1e5f1ce9be12613a13c6

0x51125a7d015eddc3dbef138a39ba091863d1f155

0x6438162e69037c452e8af5d6ae70db1515324a3d

0xb69d4de5991fa3ded39c27ed88934a106f0af19e

0x8b2550add3c5067ca7c03b84e1e37b14b35aa1e5

0x2e1891de1e334407fafaab09ac545bb9e4099833

0xebe5cccc75b4ec5d6d8c7a3a8cee0d8c0e821584

0xcf0da9cea8403ff1e3ed6db93f3badc885c24522

0x524db09476bb87b581e1c95fbf37383661d1829a

0x1afd71464dd7485f8b3cea7c658c6a1e2b3e77a4

0xfc3ee819f873050f7f3bbce8b34ba9df4c44b5d0

0xb6bdf9eb331d0109dd3ba1018f119c59341fbb40

0x8e2b77c3c8d6e908aea789864e36a07bea1aaf58

0x46666a93b1f83b4c475b870dc67dc0dbd8a16607

0x15e5bf7f142ffa6f5eb7e1a30725603c97c2d0d6

0x6845eebc315109a770dcc7a43ed347405a82e94b

漏洞分析:

FTX錢包安全:既沒有對接收方地址為合約地址進行任何限制。也沒有對ETH原生Token的轉賬GASLimit進行限制,而是采用estimateGas方法評估手續費,這種方法導致GASLIMIT大部分為500,000,超出默認21,000值的24倍。FTX出金安全:從FTX出金熱錢包地址的出金中存在大量相同出金地址的小額轉賬。為明顯出金異常事件。

FTX業務安全:FTX提幣免手續費,給攻擊者零成本竊取帶來極大便利。

Tags:FTX比特幣GASETHGameStop tokenized stock FTX比特幣萊特幣gas幣是什么幣ETH數字錢包

BTC
Messari:Yearn代幣經濟演進,從價值捕獲到價值創造_YFI

主要觀點 Yearn即將發布的veToken模型使用投票鎖定和保險庫計量器來分配協議收益;投票鎖定激勵YFI持有者通過根據其承諾的規模和長度增加他們的治理能力和YFI所有權份額來與Yearn的長.

1900/1/1 0:00:00
Eternity Chain(ERN)四倍的潛力是怎么來的?霸占漲幅榜榜首_ERN

今天幣安漲幅榜霸榜的是ERN可謂說是,從1美金,拉倒4美金,足足翻了四倍,接下來就來看一下,幾個小時的時間能拉四倍的幣種是什么?有什么魔力? EthernityChain什么是以太鏈Eterni.

1900/1/1 0:00:00
MarsBit投融資周報 | 加密市場吸金約4億美元,DeFi投融熱度有所回升_ENT

據MarsBit統計,10月15日至10月21日期間,加密市場共發生29筆投融資事件,其中基礎設施領域5筆、DeFi領域4筆、鏈游和NFT領域5筆、Web3領域5筆.

1900/1/1 0:00:00
盤點StarkWare生態:StarkEx共7個應用,StarkNet 105個生態項目_ARK

2022年5月,以太坊Layer2開發商StarkWare宣布以80億美元估值完成1億美元D輪融資,這使得StarkWare成為一級市場上估值最高的項目之一.

1900/1/1 0:00:00
2022年Q3加密市場投融資報告:L1重奪關注,藍籌NFT受資本青睞_NFT

與Q2相比,Q3資本流入加密一級市場總額驟降54%。作者:十文;編輯:郝方舟出品?|?Odaily星球日報2022年,宏觀經濟形勢對全球金融市場構成嚴峻挑戰,加密貨幣市場也難以獨善其身.

1900/1/1 0:00:00
淺談跨鏈通信的發展_區塊鏈

跨鏈通信正在成為Web3領域的熱門話題,特別是每當有人談到Web3生態系統的現實效用,以及不同的鏈聚集在一起時,解決當前復雜的銀行、跨境交易、數字資產等基礎設施時尤為激烈.

1900/1/1 0:00:00
ads