2022年10月13日,據據BeosinEagleEyeWeb3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。
金色財經邀請Beosin安全團隊第一時間對事件進行了分析,結果如下:
1、事件相關信息
其中一部分攻擊交易:
0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94
現貨比特幣ETF審批將于周三啟動,8名申請人已在聯邦登記冊上被提名:金色財經報道,美國證券交易委員會 (SEC) 批準現貨比特幣ETF申請的時間將于周三開始,此前所有八名申請人均已在聯邦公報上列出。雖然監管機構上周發布了尋求公眾咨詢的文件,但審查程序的計時只有在周二在登記冊中發布備案后才正式開始。該登記冊是美國政府的每日公報,包含行政命令、聯邦機構法規、擬議的機構規則以及法律規定必須公布的其他文件。
這八個申請人是貝萊德在納斯達克提交的 iShares ETF、Bitwise在紐約證券交易所Arca提交的比特幣ETP信托基金以及在芝加哥期權交易所 (Cboe) 提交的另外六個申請人:Fidelity 的Wise Origin Bitcoin Trust、WisdomTree Bitcoin Trust、VanEck Bitcoin Strategy ETF和Invesco Galaxy比特幣 ETF、ProShares 比特幣策略 ETF和Valkyrie 比特幣策略 ETF。[2023/7/19 11:03:01]
其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)
梅賽德斯-奔馳NFT Maschine荷蘭拍起拍價為3ETH:金色財經報道,梅賽德斯-奔馳公布NFT Maschine發售細節,將于6月7日進行荷蘭拍,起拍價為3ETH,價格將在90分鐘內線性下降,從3ETH的起拍價格到0.2ETH的底價截止,或直到售罄。
此前報道,梅賽德斯-奔馳發布NFT Maschine。[2023/6/5 21:15:34]
2、攻擊流程
以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀,所以以下圖為例部分展示。
美國眾議院議長麥卡錫:預計眾議院大多數共和黨人將投票支持債務上限法案:金色財經報道,美國眾議院議長麥卡錫表示,超過95%的眾議院共和黨人對此前達成的債務上限協議感到非常興奮。債務上限協議是朝著正確方向邁出的一步;債務上限協議無法滿足所有人的要求,但是協議中有許多積極因素;實際上政府的支出比去年要少;預計眾議院大多數共和黨人將投票支持債務上限法案。[2023/5/29 9:47:46]
近80%的y00ts系列NFT已遷移至Polygon:金色財經報道,OpenSea數據顯示,目前已有1.16萬枚y00ts系列NFT已遷移至Polygon,占總量的約80%。該系列NFT目前地板價為1.69 ETH,總交易量為394 ETH。
據此前報道,NFT項目y00ts表示將于3月27日開始遷移至Polygon,用戶可以直接從官方網站遷移,在24小時內完成遷移將獲得獎勵。Gas費用將由Magic Eden提供,質押也將免費。在最初的24小時內,y00ts團隊將在Polygon上根據y00ts數量一比一空投BTC DeGod。快照將于遷移開始24小時后在Polygon上進行。[2023/3/30 13:34:22]
?第三步,接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintRewardAndShare()函數為提取函數,該函數只判斷是否達到時間期限,便可無條件提取到任何非零地址。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。
前三個步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求,黑客達成他的目標。
3、漏洞分析
本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制,也沒有對ETH的gasLimit進行限制,導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時,Beosin安全團隊通過BeosinTrace對被盜資金進行追蹤分析,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XENToken換成ETH轉移。
BeosinTrace資金追蹤圖
4、事件總結
針對本次事件,Beosin安全團隊建議:1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gaslimit進行足夠小的限制。
報告信息 Crypto-AssetReportingFrameworkandAmendmentstotheCommonReportingStandard加密資產申報框架及共同申報準則修訂 報告來.
1900/1/1 0:00:00「Roblox不僅僅是個游戲,我們的人生因此改變了。」已成年的英國雙胞胎Ben和MattHorton,從10歲開始就沉浸在Roblox的宇宙中,并在13歲一個圣誕假期打開了開發Roblox游戲的.
1900/1/1 0:00:00Uniswap治理投票剛通過了4千萬張"贊成"票,預計UniswapV3將在4-6周內在zkSync上部署。 有趣的是,部署本身不會由Uniswap團隊完成.
1900/1/1 0:00:00不出意外的話,以太坊Layer2擴容解決方案zkSync將于今日正式上線2.0主網。作為zkEVM兼容的L2區塊鏈,此次升級或將成為整個Layer2尤其是zkEVM試金的開端.
1900/1/1 0:00:00撰文:0xLaughing,律動BlockBeats 11月20日,2022年卡塔爾世界杯將正式開幕,隨著距離世界杯的時間越來越近,與之相關的加密板塊也由原來的不溫不火變得燥熱起來了:3月.
1900/1/1 0:00:00本文來自fxstreet&newsbtc,原文作者:EktaMourya&ReynaldoMarquezOdaily星球日報譯者|Moni 圖片來源:由無界版圖AI工具生成不出意.
1900/1/1 0:00:00