FTX:猖獗黑客“薅”交易所羊毛？FTX交易所遭到Gas窃取攻击事件分析_Gastream

2022年10月13日，据据Beosin EagleEye Web3安全预警与监控平台的舆情消息，FTX交易所遭到gas窃取攻击，黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。

金色财经邀请Beosin安全团队第一时间对事件进行了分析，结果如下：

其中一部分攻击交易：

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

伏泰昊：JUST主动思考如何在波场上建立完善的DeFi体系:据最新消息显示，波场大航海时代4.0全球线上发布会正在进行中，JUST项目负责人伏泰昊在发布会中表示：“JUST旨在打造基于波场TRON的稳定币借贷平台，一个好的金融产品离不开下面应用层的稳定输入与输出，会有多个协议与应用的交叉集合，长期来看，JST代币作为整个治理体系的代币，我们会提供多种底层借贷协议和报价协议等，为用户提供全面的金融服务。作为DeFi明星项目，JUST不仅致力于开拓波场的稳定币市场，也在主动思考如何在波场上建立完善的DeFi体系。”[2020/7/7]

其中一个攻击者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一个攻击合约0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻击地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX热钱包地址)

动态 | 捷豹路虎DLT开发人员解释如何通过报告路况获得加密货币奖励:英国最大汽车制造商捷豹路虎分布式账本技术团队的软件开发人员Aaron Hetherington解释了驾驶员如何通过报告道路问题而获得加密货币奖励。Hetherington称，捷豹路虎的技术可以追踪车辆何时何地撞到路上的坑洞，这样就可以将维修细节发送给英国和爱尔兰的地方议会。他补充道：“当然，发现这些不好的路况是有奖励的。利用像IOTA这样的加密货币，我们可以将奖励直接发送给客户。”通过让汽车自动向导航提供商或地方当局报告道路状况数据，比如交通拥堵或坑洼，司机将获得加密货币积分，这些积分可用于自动支付通行费、停车费和充电费。2019年4月，捷豹路虎表示正在测试软件，旨在允许其汽车司机获得加密货币IOTA作为共享数据的奖励。据悉，该公司正在开发“智能钱包”技术，以安装在其汽车中。目前还未确定何时上市。（SiliconRepublic）[2020/2/6]

以其中一笔攻击交易为例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步，攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步，FTX热钱包地址会向攻击合约地址转入小额的资金，利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约，并且每次执行完子合约之后，子合约都会自毁，所以以下图为例部分展示。

声音 | 矿海学院创始人Andy：如何利用金融工具锁定利润是新时代矿工必须补的一门课:在今日TokenInsight对话首席第20期《比特币挖矿，你真的懂吗？》的直播中，针对“是否在未来会出现更加智能的丰枯水期预测工具以辅助矿工进行决策？的提问，矿海学院创始人Andy指出：枯水期来临，电力资源减少，势必会淘汰小算力的机器，受影响的将是这部分矿工群体。2019年四川沣水期延迟，这让很多矿工机器停放在矿场无电可挖，如果有准确的沣枯水期预测工具，相信会为矿工提供更好的决策参考。现在大部分矿工考虑的是如何能够找到低价合规稳定的电力资源，然后大部分矿工应该都希望比特币的价格可以涨起来，早期矿工依靠囤币就可以赚钱，这在币价上涨行情下可行，可是2018年持续下行，如何利用金融工具锁定利润是新时代矿工必须补的一门课。[2019/9/6]

声音 | V神：如何公平有效地分配资源取决于机制设计的可信度:据prnewswire消息，V神表示，好的机制应该能够给需求方分配最佳资源，无论需求方是项目、政府还是公司。如何公平、有效地分配资源取决于机制设计的可信度。虽然中心化机制仍然是常态，但这要求所有参与方都相信中心化机制能够正确运作。[2018/9/15]

 第三步，接下来子合约fallback()函数去向Xen合约发起铸币请求，如下函数，claimRank()函数传入一个时间期限（最小1天）进行铸币，铸币条件是只用支付调用gas费，并无其他成本，并且claimMintRewardAndShare()函数为提取函数，该函数只判断是否达到时间期限（本次黑客设置的时间期限为最小值1天），便可无条件提取到任何非零地址。但在此次调用过程中，交易发起者为FTX热钱包地址，所以整个调用过程的gas都是由FTX热钱包地址所支付，而Xen铸币地址为攻击者地址。

前三个步骤，重复多次，并且每次重复过程中都会将已到期的代币提取出来，并且同时发起新的铸币请求，黑客达成他的目标。

本次攻击主要利用了FTX项目没有对接收方为合约地址进行任何限制，也没有对ETH的gas Limit进行限制，导致攻击可以利用合约来铸造XEN代币进行获利。截止发文时，Beosin安全团队通过Beosin Trace对被盗资金进行追踪分析，FTX交易所损失81ETH，黑客通过DODO，Uniswap将XEN Token换成ETH转移。

Beosin Trace资金追踪图

针对本次事件，Beosin安全团队建议：1.对钱包接收为合约的地址进行限制。2.对业务中存在gas风险的业务对gas limit进行足够小的限制。

Beosin

企业专栏

阅读更多

白话区块链

金色财经Maxwell

NFT中文社区

CoinDesk中文

达瓴智库

去中心化金融社区

金色荐读

肖飒lawyer

CT中文

ETH中文

ForesightNews

标签：FTXEOSGASSINGameStop tokenized stock FTXEOSKINGDOMGastreamSIN币

加密货币热门资讯