買以太坊 買以太坊
Ctrl+D 買以太坊
ads

SIN:Beosin:FTX 遭 Gas 竊取攻擊事件技術分析_EOSDAC

Author:

Time:1900/1/1 0:00:00

Beosin安全團隊針對FTX遭Gas竊取攻擊事件分析稱,以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)。

Beosin:Polygon鏈上LibertiVault合約遭遇攻擊:金色財經報道,據Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Polygon鏈上LibertiVault合約遭遇攻擊,損失約123ETH和56,234USDT,價值約29萬美元。Beosin安全團隊正在追蹤資金流向。[2023/7/11 10:48:13]

FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀。

Beosin:EthTeamFinance項目遭受到了漏洞攻擊事件簡析:據Beosin EagleEye 安全預警與監控平臺檢測顯示,ETH鏈上的EthTeamFinance項目遭受漏洞攻擊,攻擊合約0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通過LockToken合約的migrate函數沒有正確驗證_id和params的漏洞,將WTH,CAW,USDC,TSUKA代幣從V2流動性池非法升級到V3流動性池,并且通過sqrtPriceX96打亂V3流動池的Initialize的價格,從而獲取大量refund套利。共計套利了約1300多萬美元。[2022/10/27 11:49:12]

接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintReward()函數為提取函數,該函數只判斷是否達到時間期限,便可無條件提取。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的Gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。

動態 | Beosin預警:cubecontract遭受攻擊 攻擊者已獲利:Beosin(成都鏈安)預警,今天下午14:46-14:51之間,根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現,黑客justjiezhan1向EOS競猜類游戲cubecontract發起攻擊且已經獲利。在此之前,黑客justjiezhan1已于12:00:41左右開始部署攻擊合約,成都鏈安安全分析人員初步分析認為攻擊者仍然與之前的攻擊手法相同,為交易阻塞攻擊。在此我們建議游戲合約開發者應該重視游戲邏輯嚴謹性及代碼安全性,同時呼吁游戲項目方在項目上鏈前進行完善的代碼安全審計,必要時可借助第三方專業審計團隊的力量防患于未然。[2019/3/18]

前三個步驟重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求。

截止發文時,通過BeosinTrace追蹤發現,FTX交易所損失81ETH,黑客通過DODO、Uniswap將XENToken換成ETH轉移。

Tags:EOSSINETHFTXEOSDACMARSINUsETH2幣BAKC Vault (NFTX)

fil幣價格今日行情
COM:晚報 | 一黑客地址利用 FTX 漏洞竊取 GAS;Copper 新一輪融資已籌集 1.96 億美元_LSWAP價格

整理:潤升,鏈捕手 “過去24小時都發生了哪些重要事件”?1、一黑客地址利用FTX漏洞竊取GAS,零成本鑄造XEN1.7萬次據X-explore,“科學家”利用FTX漏洞正在竊取GAS.

1900/1/1 0:00:00
數字金融:如何設計代幣分配周期?_MAV價格

作者:VaderResearch編譯:BlockunicornVC與創始人們都不應該在7年或以上的時間內獲得任何代幣。我們要感謝CMTDigital的CharlieSandor的貢獻和反饋.

1900/1/1 0:00:00
NFT:對話斯坦福 Jerry Liu:漫談版權歷史以及 CC0 的特性_區塊鏈

來源:Web3Revolution 導語 由MaskNetwork孵化贊助的Web3Revolution是關于一檔探索Web3領域的雙語播客,通過對話.

1900/1/1 0:00:00
SMT:a16z:需要監管的應是 Web3 應用,而非協議_SMTY價格

原文標題:《a16z:需要監管的應是Web3應用,而非協議》原文作者:MilesJennings原文編譯:DeFi之道互聯網的許多早期支持者主張永遠保持自由和開放.

1900/1/1 0:00:00
PRI:PrivacyIN 隱私學院 ZK 訓練營助力 ZK 賽道版圖持續擴張_ACY

作者:PrivacyIN作為加密行業備受矚目的潛力賽道,ZK既可以保證知識的隱私性,也可以保證知識的有效性,這使得ZK在「隱私」、「擴容」等領域擁有廣泛應用場景.

1900/1/1 0:00:00
OIN:Filecoin 未來規劃:將開發大規模的數據的載入管道、構建和以太坊虛擬機的兼容性_COI

鏈捕手消息,在由萬向區塊鏈實驗室主辦的第八屆區塊鏈全球峰會上,Filecoin創始人JuanBenet?發布題為《Filecoin整體規劃》的演講.

1900/1/1 0:00:00
ads