2022年10月13日,据据BeosinEagleEyeWeb3安全预警与监控平台的舆情消息,FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XENTOKEN。
金色财经邀请Beosin安全团队第一时间对事件进行了分析,结果如下:
1、事件相关信息
其中一部分攻击交易:
0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94
币安正组建团队研究区块链和加密货币如何对Twitter有所帮助:10月28日消息,币安正在组建一个团队致力于研究区块链和加密货币如何对 Twitter 有所帮助,该团队将探索如何构建链上解决方案来解决 Twitter 的机器人账户等问题。此前在马斯克与 Twitter 的诉讼中公布的短信也显示,马斯克讨论了将 Twitter 置于区块链上的可能性,但后来又认为该举措无法实现。
此前,特斯拉CEO埃隆·马斯克已正式完成以每股54.2美元(约合440亿美元)的价格收购推特公司的交易,马斯克还罢免了首席执行官Parag Agrawal和首席财务官Ned Segal。(路透社)[2022/10/29 11:54:05]
其中一个攻击者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一个攻击合约0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻击地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX热钱包地址)
观点:英国加密监管的关键因素是如何处理零售问题:4月5日消息,在IFGS会议的第二天,金融服务行业集团Shearman & Sterling全球负责人Barnaby Reynolds在“Crypto重启:2021年及未来”的发言中,淡化了英国财政部日前关于英国稳定币使用的监管声明的重要性。Reynolds称:英国正在考虑如何监管加密货币,但昨天宣布将稳定币纳入支付体系的声明相对没有太大影响。就加密货币监管而言,伦敦和纽约是值得关注的两个重要市场,因为这两个市场是全球“脉搏”所在。Reynolds解释说,英国的关键因素是如何处理零售问题。英国对加密货币交易的禁令是争议所在,因为零售市场非常希望进入加密货币市场。
此前消息,英国财政部在官网宣布推出一系列举措,将把稳定币视为一种有效的支付方式,作为使英国成为全球加密资产技术和投资中心的计划的一部分。(Finextra)[2022/4/5 14:05:21]
2、攻击流程
直播 |“后浪”仙女鱼池-青青如何乘风破浪:金色财经 · 直播主办的《 币圈 “后浪” 仙女直播周》第7期11:00 F2Pool 鱼池|CMO青青将在直播间聊聊“币圈‘后浪’仙女如何乘风破浪”,感兴趣的朋友扫码移步收听![2020/7/2]
以其中一笔攻击交易为例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX热钱包地址会向攻击合约地址转入小额的资金,利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约,并且每次执行完子合约之后,子合约都会自毁,所以以下图为例部分展示。
Compound CEO :创建治理代币,是为让最聪明用户决定协议如何升级:Compound创始人兼CEO Robert Leshner在媒体直播间表示,流动性挖矿是作为一种分发代币的方式,Compound总体上是一种自治的系统,这需要相信那些最有能力的人来决定协议的参数是什么,所以我们创建了一个治理代币来升级协议,向协议主题添加新资产,所以我们创造这个代币以便把它交到最聪明的用户手中。(深链财经)[2020/6/24]
?第三步,接下来子合约fallback()函数去向Xen合约发起铸币请求,如下函数,claimRank()函数传入一个时间期限进行铸币,铸币条件是只用支付调用gas费,并无其他成本,并且claimMintRewardAndShare()函数为提取函数,该函数只判断是否达到时间期限,便可无条件提取到任何非零地址。但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址。
前三个步骤,重复多次,并且每次重复过程中都会将已到期的代币提取出来,并且同时发起新的铸币请求,黑客达成他的目标。
3、漏洞分析
本次攻击主要利用了FTX项目没有对接收方为合约地址进行任何限制,也没有对ETH的gasLimit进行限制,导致攻击可以利用合约来铸造XEN代币进行获利。截止发文时,Beosin安全团队通过BeosinTrace对被盗资金进行追踪分析,FTX交易所损失81ETH,黑客通过DODO,Uniswap将XENToken换成ETH转移。
BeosinTrace资金追踪图
4、事件总结
针对本次事件,Beosin安全团队建议:1.对钱包接收为合约的地址进行限制。2.对业务中存在gas风险的业务对gaslimit进行足够小的限制。
标签:MASAMATAMAMASKmetamask币转不出来AmaurotBABYSAITAMA价格metamask钱包被盗
撰文:Karen Aptos?生态机会何在?Aptos在上线主网后向NFT铸造和激励测试网用户空投了价值不菲的代币,生态内项目也开始陆续上线主网,与此同时.
NFT世界中从来不缺少机会,唯一缺少的就是发现价值的眼睛。某数字藏品“共识群”中,曾经所有人都将这句话奉为信仰。所谓“共识群”,即持有某款数藏的用户们为维系价格的抱团.
文/Lisa&Kong近期,我们发现多起关于eth_sign签名的钓鱼事件。钓鱼网站1:https://moonbirds-exclusive.com/ 当我们连接钱包后并点击Claim.
作者?|?LiJaran?Mellerud、AndersHelseth编辑?|?ColinTSEKate 吴说区块链授权翻译转载 原文链接: https://arcane.
原文标题:《盘点NFT交易的过去,现在和未来》 撰文:Vivian NFT聚合平台如何促进行业发展?早在2016-2018年,以OpenSea,MakersPlace.
1.美国证券交易委员会指控2家公司实施加密拉高抛售计划金色财经报道,美国证券交易委员会已对总部位于百慕大的ArbitradeLtd和总部位于加拿大的Cryptobontix及其负责人提起指控.