被朋友Q到近期火热的羊毛事件,截止目前,不仅是黑客获利超20W刀,FTX损失108+个ETH,合计有38名同样思路的攻击者部署合约发起攻击。本文从技术维度出发,深入分析此利用FTX交易所免手续费提币的漏洞,结合智能合约回调发起的攻击方式,并通过样例代码复现实现原理。由于FTX已经通过人工审计针对攻击者进行惩罚,该漏洞处于风险可控阶段。切勿尝试可能导致封号没收质押物。1、背景
1.1XEN是什么?
是近期大火的一个XEN币,到10-15为止已有超过120W笔交易,其实笔者对这类缺乏长期价值对Web3毫无建设性意义的项目一直没什么兴趣,因为他的机制就是只要发起的交易消耗了多少的GAS,就可以铸造出一定数量的XEN币,而众所周知Etherscan有针对gas消耗的排行榜可以看到真正出色的项目往往由于服务用户多交易量大,所以gas消耗高排名靠前,仿佛成了另一种的应用商店热门榜单,而XEN一举通过“冲票“成了冠绝以太坊整个生态的Top1,且等于其他好项目的总和。
观点:柴犬相关Meme币的上涨不可持续,无需过度解读:金色财经报道,周一,Twitter将网页LOGO图标从蓝鸟更改为DOGE狗狗头像,狗狗币(DOGE)的价格几乎立即飙升,其他几个以柴犬为主题的Meme币也大幅上涨,整个板块平均涨幅为14%。SHIB等大市值代币涨幅达10%,而FLOKI、KISHU和BABYDOGE等小市值代币涨幅达25%。此外,3月份上线的zkSync区块链上的zkDoge和zkShib,涨幅高达100%。
然而,这种上涨不太可能长期持续,一些交易员警告称,这种走势并不预示着更广泛的趋势。
加密货币交易公司Flowdesk首席执行官Guilhem Chaumont表示:“我们不认为这预示着一场长期牛市。恰恰相反,加密市场的上升趋势是有规律的,首先是比特币经历牛市,然后是主要的山寨币,最后是市值较小的代币。[2023/4/6 13:48:07]
动态 | 西秀区干部大讲堂专题解读区块链:12月3日,2019年第六期西秀干部大讲堂在西秀文化中心开讲,邀请中诚区块链研究院副院长、中国金融培训中心专家讲师、国家信息工程研究院专家讲师马强,为全区广大干部职工专题解读了区块链相关内容。
讲座上,主讲人从什么是区块链、区块链核心技术的突破与发展、区块链在各个行业的典型应用、区块链在政务服务和政务监管中的典型应用、探索使用区块链赋能诚信建设、政府部门如何有效参与和监管企业区块链应用等方面,给大家做了详细的讲解,详细介绍区块链的发展历程及所带来的经济效益,并就区块链的现状和未来进行具体的分析展望,还与现场的参会人员进行了互动解答。
通过这次讲座,大家对区块链在建设网络强国、发展数字经济、助力经济社会发展等方面的作用,有了较为全面的认识,也为今后西秀区在提高运用和管理区块链技术能力、加速推进以信息技术带动全区经济高质量发展奠定了一定的基础。(西秀区委宣传部)[2019/12/6]
可拓展阅读:当我们在看Etherscan的时候,到底在看什么?1.2受害方FTX交易所
以太坊安全主管解读硬分叉Constantinople:重建区块哈希值:据Ethnews的报道,今日,以太坊安全主管Martin Swende发布了一系列文章,介绍即将到来的以太坊硬分叉Constantinople正在讨论中的一些特点。文章讨论了V神提出的EIP210提案,Swende解释道,提案将分成三个阶段重建区块哈希值,允许新的区块直接与旧区块不按顺序地连接,增加区块间的连接性。EIP210将按照EDCC或智能合约的方式算入哈希值,“将会强化轻客户端要求”,这个区块哈希值升级将使以太坊用户免于查看历史区块哈希值。[2018/5/1]
本次被攻击的也正是其免费提币的优惠活动,在平台有质押且有一定交易记录后即可发起免费提币,而提币会受制于之前交易量
尹振涛解读数字货币政策:对数字货币的监管还可以更严厉:中国社会科学院金融研究所法与金融研究室副主任尹振涛认为:对数字货币的定位不明确,各国对数字货币的监管都在同一起跑线上;各国的监管差异体现了背后的经济博弈;从效果上看,当前国内监管做的还不够,在某些领域,我们还可以更严一点;禁止ICO不应是阻碍区块链发展的借口;数字货币交易被禁止,风险仍留在国内;未来各国的监管会渐趋一致。[2018/3/22]
1.3链上数分结果
其实mirror上爆出的还不是最大的攻击者,而此攻击手法最早出现在10-10号,截止10-15号,合计类似逻辑的攻击地址有38个,合计1.45W笔攻击。计算依据:FTX热钱包单笔转移gas消耗大于5W,且to地址是合约地址的交易。下图为其中top10的攻击者,其交易数占总攻击数的80%,致使FTX手续费损失86个ETH笔者通过对其交易的gas消耗总值核算后,得出FTX本次损失总值为:108.19个ETH合计铸造出XEN约24亿个。按14号日常价格估算的话,则黑客总收益在24W美金以上
赵长鹏解读钓鱼网站运作方式:币安创始人赵长鹏再发推文,剖析了钓鱼网站运作方式,他首先配图指出钓鱼网站的域名中两个字母下方比正确地址多了两个点。他还表示,用户在钓鱼网站登录后跳转到真的币安。此外一旦登录后,用户就不能再进入钓鱼网站,而是自动跳转到币安(即使登出账号后)。[2018/3/8]
详细数据可<十四君>公众号后台输入”FTX与XEN”获得2、黑客攻击流程分析
2.1核心原理
智能合约的fallback/receive可任意执行逻辑。任何一个合约都有默认的fallback函数,典型的功能就是让合约可以接收以太币并对其做出反应,这也是代币型合约用来拒绝转账、发出事件或转发以太币的典型模式。后来更多场景是应用在代理升级模式总之就是,一笔指向合约地址的交易,如果没有匹配到对应执行的函数,就必然会执行fallback函数,而fallback可以将输入参数指向另一个合约地址,从而执行对应的逻辑。参考:https://blog.soliditylang.org/2020/03/26/fallback-receive-split/2.2攻击流程
其实看完手法核心,已经很明显了黑客先部署了一个攻击合约0xCba9b1然后利用FTX的交易免费提币功能让FTX的热钱包0xc098b2,发起了一笔指向攻击合约的提币导致交易触发指向XEN合约的Mint函数调用由于XEN合约可以设置Mint出代币的收益方,从而将代币转入黑客地址
2.3手法还原
其实任意fallback非常好触发,咱们通过现场手搓实现下,当然并不是MintXen,而是临时随意的一个20token来示意。下文便是最简单的一个ERC20代币了,任何人均可执行mint函数,雷同于XEN了对于ERC20/721实现原理可拓展阅读:你买的NFT到底是什么?
而攻击合约也很简单,设置写死要调用Mint的XEN合约地址以及黑客收益的地址。
可以看到实验中,对此攻击合约发起的任意一笔交易,即会触发了receive,且myAddr的GLD余额增加1e18个,当然并不能拿着这个代码就去复现黑客的实现了,因为要铸造更多的GEX还得增加工厂合约部署的逻辑,即能提高gas消耗也吻合XEG的mint管理。
3、总结-从攻击事件看“元交易”
其实如果不是黑客本身知道FTX有免费提币优惠,且其提币的交易的gasLimit设置为固定值50W,则很难发起这样的攻击,因为依据以太坊黄皮书,普通转账也仅仅需要2.1W的gas即可。黑暗森林的web里知其雄守其雌,这样的攻击从历史进程来看,其实更有警示性意义笔者想谈谈元交易的发展元交易是来自于ChristianLundkvist教授在2015年的一个设想如今上手Dapp实在是太麻烦了,以太坊生态若想普及,就应该允许新用户直接使用其功能,而不是先安排几座大山让用户翻山越岭。这意味着需要为新来的用户垫付Gas费用。当前的以太坊协议并没有提供原生方法来实现这一点。然而,得益于公/私密钥对,用户可以通过对元交易进行签名并证明所有权。相信未来元交易终会成为应用主流,本次的FTX代付gas执行免费提币转账还只是元交易的某种小小实现,但只有安全+无感才能迎接全民低成本上链时代的到来,为此安全与风控都需要特别注意,这也是笔者分析安全案件的初衷。欢迎你从后台提交web3行业问题探讨点赞关注十四,用技术视角带给你价值
标签:FTXXENGASBACKChainlink NFT Vault (NFTX)XeniumxMEGASHIB币TrueFeedBack
原书章节 全书的第一部分-预挖矿第五篇论文DAO发表自以太坊博客,2015年1月23日。内容摘要DAO的价值在哪里?相比传统形态的组织管理有什么优势?这是很多人追问的话题.
编者按:10月18日,公链Aptos宣布已正式上线主网“AptosAutumn”,并对测试网贡献用户开启了空投。Aptos上的生态项目发展也极其迅速,后续这些生态极大可能会对用户发起空投.
区块链目前主要围绕两件事:1.地址;2.交易。今天打算借助一个有趣的工具mest.io分析区块链名人的钱包地址,从而了解他们的投资情况,以及熊市的资产状况,看看能给普通投资人哪些启发.
比特币诞生至今14年,在加密行业的叙事、赛道和项目均呈现出繁荣景象之际,尽管去中心化和隐私保护早已成为币圈人的精神信仰.
摘要 Gamefi相比web3其他赛道会有更多web2的用户、有更多的交互需要更好的性能,并且链上资产的同质化很高、数量很多,所以需要更加垂直化的web3基础设施.
2022年,宏观经济形势对全球金融市场构成严峻挑战,加密货币市场也难以独善其身。从二级市场来看,自2022年第二季度以后,主流加密货币价格屡创新低,加密市值降至9418亿美元.