買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > 幣安幣 > Info

SIN:猖獗黑客“薅”交易所羊毛?FTX交易所遭到Gas竊取攻擊事件分析_GAS

Author:

Time:1900/1/1 0:00:00

2022年10月13日,據據Beosin EagleEye Web3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。

金色財經邀請Beosin安全團隊第一時間對事件進行了分析,結果如下:

其中一部分攻擊交易:

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

英偉達推出面向大語言模型和生成式 AI 的云服務產品:金色財經報道,英偉達宣布推出一組云服務產品,能夠使企業構建、優化和運行定制的大型語言模型和生成式 AI 模型。Getty Images、Morningstar、Quantiphi 和 Shutterstock 等公司將創建和使用利用新的 NVIDIA AI Foundations 服務構建的 AI 模型、應用和服務。企業還可使用 NVIDIA NeMo?語言服務和 NVIDIA Picasso 圖像、視頻和 3D 服務來構建專用的、特定領域的生成式 AI 應用,用于智能聊天和客戶支持、專業內容創作、數字模擬等。英偉達還宣布了用于生物學的 NVIDIA BioNeMo?云服務的新模型。此外,英偉達還推出了針對生成式 AI 應用進行優化的四種推理平臺,可幫助開發者快速構建專門的、由 AI 驅動的應用。(界面新聞)[2023/3/22 13:18:38]

其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)

Dokia Capital地址收到解鎖的240萬枚GRT:金色財經報道,據Lookonchain監測,Dokia Capital地址收到解鎖的240萬枚GRT(價值約44.3萬美元)。Dokia Capital上次收到解鎖的GRT是在2022年1月18日,解鎖數量為130萬枚,Dokia Capital于2022年4月9日將該部分代幣轉入幣安。[2023/2/8 11:55:20]

以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀,所以以下圖為例部分展示。

EOS短線突破1.7 USDT,24H漲幅為13.75%:行情顯示,EOS短線突破1.7 USDT,最高至1.7199 USDT;現報1.6775 USDT,24H漲幅為13.75%。[2022/8/22 12:41:27]

 第三步,接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限(最小1天)進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintRewardAndShare()函數為提取函數,該函數只判斷是否達到時間期限(本次黑客設置的時間期限為最小值1天),便可無條件提取到任何非零地址。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。

趙長鵬稱幣安正考慮再次進入韓國市場:6月17日消息,幣安CEO趙長鵬在法國VivaTech 2022會議現場表示,幣安正在考慮重新進入韓國市場。據悉,幣安曾于2019年7月成立了一家韓國公司(Binance KR),但于2021年1月退出韓國,當時韓國出臺了特定金融信息法等法案。(每日經濟新聞)[2022/6/17 4:33:54]

前三個步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求,黑客達成他的目標。

本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制,也沒有對ETH的gas Limit進行限制,導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時,Beosin安全團隊通過Beosin Trace對被盜資金進行追蹤分析,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XEN Token換成ETH轉移。

Beosin Trace資金追蹤圖

針對本次事件,Beosin安全團隊建議:1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gas limit進行足夠小的限制。

Beosin

企業專欄

閱讀更多

白話區塊鏈

金色財經Maxwell

NFT中文社區

CoinDesk中文

達瓴智庫

去中心化金融社區

金色薦讀

肖颯lawyer

CT中文

ETH中文

ForesightNews

Tags:EOSFTXGASSINEOS幣最新消息MANEKI Vault (NFTX)ugas幣最新資訊SINS幣

幣安幣
RAN:曾經out的共享經濟 回來了嗎?_sunshineranch

最近網絡上關于共享充電寶”價格刺客”的新聞突然火了起來,記得上次共享充電寶這樣火爆,還是2013年思聰哥哥發文唱衰共享充電寶.

1900/1/1 0:00:00
TRI:Be VEE:韓國藝術家的 Free Mint 與 NFT 流量變現嘗試_INFTEE

作者 | Carol (Twitter: @CC99Carol)編輯 | Colin Wu 摘要: 近期,新興 NFT 項目 Be VEE 逐漸展露頭角.

1900/1/1 0:00:00
CRYPT:創始人分享XEN Crypto設計理念及項目愿景_加密貨幣交易所下載

作者:Crypto Kindness 整理和編譯:ColinXEN Crypto,一場突然在加密世界爆火的社會實驗,引起了以太坊又一場gas war.

1900/1/1 0:00:00
ANK:Bankless 創始人眼中的加密「群英像」:僧侶、信徒、騙子_加密貨幣騙局騙女人套路

原文標題:《Bankless 創始人:加密「群英像」——加密僧侶、信徒、騙子》(Why Is Crypto Full of Scams?)撰文:David Hoffman.

1900/1/1 0:00:00
NBS:金色觀察 | Web3基金會第15輪資助項目一覽_WEB3

2022年10月10日,Web3基金會在官方博客宣布,在第15輪資助計劃中簽署了37筆資助贈款.

1900/1/1 0:00:00
SMT:去中心化電子郵件消亡史:Web3 能從中學到什么?_SLASH幣

原文:《The Death of Decentralized Email》by Jameson Lopp編譯:aiddiaojp.eth.

1900/1/1 0:00:00
ads