猖獗黑客“薅”交易所羊毛？FTX交易所遭到Gas窃取攻击事件分析_WEB:sinoc币最新价格

2022年10月13日，据据Beosin EagleEye Web3安全预警与监控平台的舆情消息，FTX交易所遭到gas窃取攻击，黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。

金色财经邀请Beosin安全团队第一时间对事件进行了分析，结果如下：

其中一部分攻击交易：

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

内地用户暂不可用香港众安银行提供的加密货币法币兑换服务:金色财经报道，香港最大的虚拟银行众安银行正在推动加密货币和法定货币的兑换服务。众安银行行政总裁姚文松周二在接受采访时表示，众安银行将充当结算银行角色，允许客户在持牌交易所存入加密代币后以港元、美元等货币取款。不过，姚文松同时指出，由于中国内地的限制，将不为来自中国内地的客户提供相关服务。4月12日，有众安在线相关人士表示，大陆用户可以使用香港众安银行，但上述兑换业务暂时不行。[2023/4/12 13:59:50]

其中一个攻击者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一个攻击合约0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻击地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX热钱包地址)

香港数码港行政总裁：数码港可视作Web3枢纽，已有140多家Web3公司入驻:4月12日消息，香港数码港管理有限公司行政总裁任景信在 Web3 香港嘉年华峰会发表主旨演讲时表示，香港数码港可以视作为 Web3 枢纽，可以推动香港成为国际创新和技术中心。我们的 Web3 基地（Web3 Hub）旨在推动 Web3 产业发展，凝聚人才和企业，提升大众对 Web3 的认知，另外资金支持也是很重要的一部分。人才方面，包括 Web3 学院（Web3 Academy）计划，旨在成立一个平台希望更多从业人员加入推广 Web3。产业方面，包括一个 Web3 Living Lab 计划，包括智慧生活等，具体计划可能会在后面几个月在数码港宣布。同样重要的是要让 Web2 企业和人才知道怎么进入 Web3 发展。融资方面，希望一个月后分享鼓励 Web3 企业发展的信息，此外目前已经有 140 多家 Web3 公司在数码港入驻。[2023/4/12 13:58:27]

以其中一笔攻击交易为例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步，攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步，FTX热钱包地址会向攻击合约地址转入小额的资金，利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约，并且每次执行完子合约之后，子合约都会自毁，所以以下图为例部分展示。

Coinbase股价未受裁员影响开盘突破40美元涨幅近8%:金色财经报道，由于 Coinbase 今日宣布重组并裁员 20%，分析师盘前预期 Coinbase 股价将受到裁员影响下跌 3.1%，但美股今日开盘后 Coinbase 股价并没有收到裁员影响一路上涨到 40 美元上方，目前已达到 41.31 美元，涨幅为 7.94%。值得一提的是，Coinbase 裁员前“木头姐”Cathie Wood 旗下资管公司 Ark Invest再次增持了价值 500 万美元的 Coinbase 股票。[2023/1/11 11:05:15]

今日恐慌与贪婪指数为22，恐慌程度小幅降低:金色财经报道，今日恐慌与贪婪指数为22（昨日为20），恐慌程度小幅降低，等级仍为极度恐慌。注：恐慌指数阈值为0-100，包含指标：波动性（25%）＋市场交易量（25%）＋社交媒体热度（15%）＋市场调查（15%）＋比特币在整个市场中的比例（10%）＋谷歌热词分析（10%）。[2022/11/26 20:47:07]

 第三步，接下来子合约fallback()函数去向Xen合约发起铸币请求，如下函数，claimRank()函数传入一个时间期限（最小1天）进行铸币，铸币条件是只用支付调用gas费，并无其他成本，并且claimMintRewardAndShare()函数为提取函数，该函数只判断是否达到时间期限（本次黑客设置的时间期限为最小值1天），便可无条件提取到任何非零地址。但在此次调用过程中，交易发起者为FTX热钱包地址，所以整个调用过程的gas都是由FTX热钱包地址所支付，而Xen铸币地址为攻击者地址。

前三个步骤，重复多次，并且每次重复过程中都会将已到期的代币提取出来，并且同时发起新的铸币请求，黑客达成他的目标。

本次攻击主要利用了FTX项目没有对接收方为合约地址进行任何限制，也没有对ETH的gas Limit进行限制，导致攻击可以利用合约来铸造XEN代币进行获利。截止发文时，Beosin安全团队通过Beosin Trace对被盗资金进行追踪分析，FTX交易所损失81ETH，黑客通过DODO，Uniswap将XEN Token换成ETH转移。

Beosin Trace资金追踪图

针对本次事件，Beosin安全团队建议：1.对钱包接收为合约的地址进行限制。2.对业务中存在gas风险的业务对gas limit进行足够小的限制。

Beosin

企业专栏

阅读更多

白话区块链

金色财经Maxwell

NFT中文社区

CoinDesk中文

达瓴智库

去中心化金融社区

金色荐读

肖飒lawyer

CT中文

ETH中文

ForesightNews

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。