据BeosinEagleEyeWeb3安全预警与监控平台的舆情消息,FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XENTOKEN。Beosin安全团队对此事分析如下:
1.以其中一笔攻击交易为例
(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)。
Beosin:Base链RocketSwap被攻击是因部署者私钥泄露:金色财经报道,据Beosin舆情监测显示,RocketSwap_Labs由于部署者私钥发生泄露,导致Base链上部署的farm合约中的资产转移至攻击者账户中,现项目方已关闭fram合约。
攻击者现将盗取的资产兑换成472ETH,并通过Stargate bridge从base链跨链至以太坊。目前资金存放在攻击者账户及其创建的uniswap V2 LoveRCKT池子中。[2023/8/15 21:23:59]
2.FTX热钱包地址会向攻击合约地址转入小额的资金,利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约,并且每次执行完子合约之后,子合约都会自毁。
Beosin:SEAMAN合约遭受漏洞攻击简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。
攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。[2022/11/29 21:10:04]
3.接下来子合约fallback()函数去向Xen合约发起铸币请求,如下函数,claimRank()函数传入一个时间期限进行铸币,铸币条件是只用支付调用gas费,并无其他成本,并且claimMintReward()函数为提取函数,该函数只判断是否达到时间期限,便可无条件提取。但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址。
tribeOS通过GRID平台完成证券型代币发行:广告科技公司tribeOS已通过GSX Group旗下的GRID平台完成了证券型代币发行。GSX Group首席执行官Nick Cowan强调,tribeOS是第一家使用该公司证券型代币平台GRID的公司,该公司同样欢迎其他希望“加快在资本领域采用区块链技术”的公司。(Cointelegraph)[2020/5/28]
4.1-3中的步骤,重复多次,并且每次重复过程中都会将已到期的代币提取出来,并且同时发起新的铸币请求。
截止发文时,通过BeosinTrace追踪发现,FTX交易所损失81ETH,黑客通过DODO、Uniswap将XEN代币换成ETH转移。
此前早些时候消息,FTX遭受GAS窃取攻击,黑客零成本铸造XEN代币17000次。
相关阅读:0成本获利80ETH,黑客是如何利用FTX铸造超1亿枚XEN?
区块链安全公司SalusSecurity发推称找到了黑客的地址:0x74b28c2eae8679e3ccc3a94d5d0de83ccb84705.
Dragonfly合伙人Haseeb在推特上宣布,Dragonfly已对Aptos进行战略投资.
据证券时报报道,近日,“检察日报正义网”公布了一则案件的刑事案例。游走于柬埔寨、缅甸、蒙古国等地的境外团伙,租赁上海某科技公司网络服务器,在外汇交易软件“MateTrader4”内搭建可.
据CoinDesk报道,64名Celsius的托管账户持有人向破产法庭提出申请,要求Celsius在诉讼程序之外将他们的资金退回.
据TheBlock报道,基于Avalanche的去中心化再保险协议Re以1亿美元估值完成1400万美元种子轮融资.
北京时间今日凌晨,慢雾监控到BXH被盗资金出现异动,经慢雾MistTrack分析,异动详情如下:1.BSC链.