FTX:Beosin发布FTX遭遇的Gas窃取攻击事件技术分析：FTX交易所已损失81 ETH_xen币价格今日行情

据BeosinEagleEyeWeb3安全预警与监控平台的舆情消息，FTX交易所遭到gas窃取攻击，黑客利用FTX支付的gas费用铸造了大量XENTOKEN。Beosin安全团队对此事分析如下：

1.以其中一笔攻击交易为例

(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)，攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)。

Beosin：Base链RocketSwap被攻击是因部署者私钥泄露:金色财经报道，据Beosin舆情监测显示，RocketSwap_Labs由于部署者私钥发生泄露，导致Base链上部署的farm合约中的资产转移至攻击者账户中，现项目方已关闭fram合约。

攻击者现将盗取的资产兑换成472ETH，并通过Stargate bridge从base链跨链至以太坊。目前资金存放在攻击者账户及其创建的uniswap V2 LoveRCKT池子中。[2023/8/15 21:23:59]

2.FTX热钱包地址会向攻击合约地址转入小额的资金，利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约，并且每次执行完子合约之后，子合约都会自毁。

Beosin：SEAMAN合约遭受漏洞攻击简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，2022年11月29日，SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时，都会将SEAMAN代币兑换为凭证代币GVC，而SEAMAN代币和GVC代币分别处于两个交易对，导致攻击者可以利用该函数影响其中一个代币的价格。

攻击者首先通过50万BUSD兑换为GVC代币，接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币，此时会触发合约将能使用的SEAMAN代币兑换为GVC，兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD，接下来在BUSD-GVC交易对中将BUSD兑换为GVC，攻击者通过多次调用transfer函数触发_splitlpToken()函数，并且会将GVC分发给lpUser，会消耗BUSD-GVC交易对中GVC的数量，从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD，获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），将持续关注资金走向。[2022/11/29 21:10:04]

3.接下来子合约fallback()函数去向Xen合约发起铸币请求，如下函数，claimRank()函数传入一个时间期限进行铸币，铸币条件是只用支付调用gas费，并无其他成本，并且claimMintReward()函数为提取函数，该函数只判断是否达到时间期限，便可无条件提取。但在此次调用过程中，交易发起者为FTX热钱包地址，所以整个调用过程的gas都是由FTX热钱包地址所支付，而Xen铸币地址为攻击者地址。

tribeOS通过GRID平台完成证券型代币发行:广告科技公司tribeOS已通过GSX Group旗下的GRID平台完成了证券型代币发行。GSX Group首席执行官Nick Cowan强调，tribeOS是第一家使用该公司证券型代币平台GRID的公司，该公司同样欢迎其他希望“加快在资本领域采用区块链技术”的公司。（Cointelegraph）[2020/5/28]

4.1-3中的步骤，重复多次，并且每次重复过程中都会将已到期的代币提取出来，并且同时发起新的铸币请求。

截止发文时，通过BeosinTrace追踪发现，FTX交易所损失81ETH，黑客通过DODO、Uniswap将XEN代币换成ETH转移。

此前早些时候消息，FTX遭受GAS窃取攻击，黑客零成本铸造XEN代币17000次。

相关阅读：0成本获利80ETH，黑客是如何利用FTX铸造超1亿枚XEN？

标签：FTXXENSIN0XCBAYC Vault (NFTX)xen币价格今日行情sinoc币官网0XC币

DYDX热门资讯