区块见闻 区块见闻
Ctrl+D收藏区块见闻

FTX:Beosin发布FTX遭遇的Gas窃取攻击事件技术分析:FTX交易所已损失81 ETH_SIN

作者:

时间:

据BeosinEagleEyeWeb3安全预警与监控平台的舆情消息,FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XENTOKEN。Beosin安全团队对此事分析如下:

1.以其中一笔攻击交易为例

(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)。

Beosin:ETH链上SCO项目Rug Pull:金色财经报道,区块链安全审计公司Beosin旗下Beosin?EagleEye安全风险监控、预警与阻断平台监测显示,ETH链上SCO项目Rug Pull,获利90ETH,约17万美元。[2023/7/21 15:50:12]

2.FTX热钱包地址会向攻击合约地址转入小额的资金,利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约,并且每次执行完子合约之后,子合约都会自毁。

Beosin:Ara项目被攻击的根本原因是合约中处理权限存在漏洞:6月19日消息,Beosin Alert发推称,Ara项目被攻击的根本原因是合约中处理权限存在漏洞。0xB817开头地址批准了大量ARA与USDT交换合约,它没有限制从调用者转移的用于交换的资金。[2023/6/19 21:46:59]

3.接下来子合约fallback()函数去向Xen合约发起铸币请求,如下函数,claimRank()函数传入一个时间期限进行铸币,铸币条件是只用支付调用gas费,并无其他成本,并且claimMintReward()函数为提取函数,该函数只判断是否达到时间期限,便可无条件提取。但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址。

Beosin:sDAO项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin?EagleEye 安全风险监控、预警与阻断平台监测显示,BNB链上的sDAO项目遭受漏洞攻击,Beosin分析发现由于sDAO合约的业务逻辑错误导致,getReward函数是根据合约拥有的LP代币和用户添加的LP代币作为参数来计算的,计算的奖励与用户添加LP代币数量正相关,与合约拥有总LP代币数量负相关,但合约提供了一个withdrawTeam的方法,可以将合约拥有的BNB以及指定代币全部发送给合约指定地址,该函数任何人都可调用。而本次攻击者向其中添加了LP代币之后,调用withdrawTeam函数将LP代币全部发送给了指定地址,并立刻又向合约转了一个极小数量的LP代币,导致攻击者在随后调用getReward获取奖励的时候,使用的合约拥有总LP代币数量是一个极小的值,使得奖励异常放大。最终攻击者通过该漏洞获得的奖励兑换为13662枚BUSD离场。Beosin Trace追踪发现被盗金额仍在攻击者账户,将持续关注资金走向。[2022/11/21 7:53:09]

4.1-3中的步骤,重复多次,并且每次重复过程中都会将已到期的代币提取出来,并且同时发起新的铸币请求。

截止发文时,通过BeosinTrace追踪发现,FTX交易所损失81ETH,黑客通过DODO、Uniswap将XEN代币换成ETH转移。

此前早些时候消息,FTX遭受GAS窃取攻击,黑客零成本铸造XEN代币17000次。

相关阅读:0成本获利80ETH,黑客是如何利用FTX铸造超1亿枚XEN?

标签:FTXXENGASSINFTXT币XeniumxGASG价格RisingSun

火必交易所热门资讯
UPB:Upbit首次举行讨论LUNC交易手续费处理方式的会议,但最终方案仍未确定_lunar币深圳

据News1报道,韩国交易所Upbit举行首次由内外专家组成的LUNC会议,讨论LUNC交易手续费的使用和方式.

TUR:Web3协议Koop融资500万美元,1confirmation和Variant Fund领投_VentiSwap

专注于创造者经济的Web3协议Koop筹集了500万美元的资金,由1confirmation和VariantFund领投.

WEB:GoPlus Security联合慢雾提交限时授权解决方案EIP,用户可自动回收授权_coinweb交易所

针对合约无限授权引发的用户资产被盗问题,Web3安全生态基础设施GoPlusSecurity联合慢雾安全提交限时授权解决方案EIP.

RAB:Abra为整合该平台上的稳定币拟推出USD-A余额功能,USD-A还可用于赚取利息_稳定币

据福布斯报道,加密资产管理平台Abra首席执行官BillBarhydt表示,Abra计划在未来几周内将所有稳定币整合到一起,即该公司新推出的USD-A余额功能.

VENT:数字资产和外汇经纪公司Hidden Road Partners完成5000万美元A轮融资,FTX Ventures等参投_litentry币投资人

据彭博社报道,专注于数字资产和外汇的机构经纪公司HiddenRoadPartners近日宣布完成5000万美元A轮融资,本轮融资由CastleIslandVentures领投.

KAS:韩国将发布一项规范元宇宙的指导方针,将元宇宙与电子游戏区分对待_ICT

据Forkast报道,韩国科学和信息通信技术部(MSIT)在周三的政府简报会上宣布,韩国将发布一项规范元宇宙的指导方针,而不是适用于电子游戏的现有法律.