GAS:猖獗黑客“薅”交易所羊毛？FTX交易所遭到Gas竊取攻擊事件分析_UGAS幣

2022年10月13日，據據BeosinEagleEyeWeb3安全預警與監控平臺的輿情消息，FTX交易所遭到gas竊取攻擊，黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。

金色財經邀請Beosin安全團隊第一時間對事件進行了分析，結果如下：

1、事件相關信息

其中一部分攻擊交易：

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

OPNX治理代幣OX質押服務在DeBank上線:金色財經報道，據三箭資本創始人Zhu Su等人創辦的加密索賠和交易平臺Open Exchange（OPNX）官推發布信息，其治理代幣OX的質押服務已在DeBank上線。OX允許用戶通過質押以免費交易，其中如果交易者所持有的OX總量占比等于或大于其OPNX交易總量占比，則可獲得100%的交易費用返還，超出免費交易額度的質押者將在剩余部分上獲得50%的交易費用返還，所有交易費用返利都以OX形式支付給持幣用戶。[2023/6/10 21:28:37]

其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)

Galaxy Digital財報：一季度凈收入1.34億美元:5月9日消息，專注于數字資產的金融服務和投資管理公司Galaxy Digital公布一季度財報，一季度營收為1.4674億美元，凈收入1.34億美元，收入主要歸因于數字資產收益和未實現的投資收益，相比之下而截至2022年12月31日的季度凈虧損為2.88億美元。一季度Galaxy Digital衍生品收益為5500萬美元。Galaxy Digital流動性包括4億美元的現金和4.14億美元的凈數字資產，其中包括2.09億美元的非算法穩定幣。現金和穩定幣余額比年底減少了2.14億美元，這主要是由于未償還的法定貸款、GK8收購和投資的付款增加。另外，Galaxy Digital與DWS達成戰略聯盟，在歐洲開發數字資產管理解決方案。[2023/5/9 14:52:40]

2、攻擊流程

觀點：通貨膨脹傷害了審慎的儲蓄者，而比特幣會給未來帶來希望:8月3日消息，儲蓄能力是自我調節和規劃未來的重要工具，但當通貨膨脹變得不可控制時，那些努力延遲滿足的人會為他們的選擇受到懲罰。另一方面，臨床心理學家Jordan Peterson認為，比特幣的作用恰恰相反。

根據Peterson的說法，惡性通貨膨脹傷害了那些耐心投入工作并為未來儲蓄的人。他將這些人描述為“我們社會的支柱”，Peterson認為，這些人對文明的安全和生存至關重要。

他強調，在通貨膨脹扭曲市場的情況下，比特幣卻沒有受到這種扭曲或干擾，這是他對比特幣感興趣的原因之一。這位心理學家表示，加密貨幣使自由市場成為可能。（Cointelegraph）[2022/8/3 2:56:42]

以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步，攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步，FTX熱錢包地址會向攻擊合約地址轉入小額的資金，利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約，并且每次執行完子合約之后，子合約都會自毀，所以以下圖為例部分展示。

騰訊動漫發行《大王饒命》限定藏品:金色財經消息，騰訊動漫超人氣爆款IP《大王饒命》將發行數字藏品，正式發行時間為2022年7月14日12點，目前已在騰訊動漫APP開啟預約。

該藏品為獨家定制潮酷懟懟曲，由原著作者“會說話的肘子”和“大九_LN”作詞，人氣虛擬主播“阿薩AZA”演唱。藏品共4款，每款限量發行1050份。藏品發售由騰訊區塊鏈提供技術支持，每份藏品在騰訊區塊鏈上均有唯一標識，收藏者擁有專屬區塊鏈證書，并且支持轉贈。[2022/7/12 2:07:35]

?第三步，接下來子合約fallback()函數去向Xen合約發起鑄幣請求，如下函數，claimRank()函數傳入一個時間期限進行鑄幣，鑄幣條件是只用支付調用gas費，并無其他成本，并且claimMintRewardAndShare()函數為提取函數，該函數只判斷是否達到時間期限，便可無條件提取到任何非零地址。但在此次調用過程中，交易發起者為FTX熱錢包地址，所以整個調用過程的gas都是由FTX熱錢包地址所支付，而Xen鑄幣地址為攻擊者地址。

前三個步驟，重復多次，并且每次重復過程中都會將已到期的代幣提取出來，并且同時發起新的鑄幣請求，黑客達成他的目標。

3、漏洞分析

本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制，也沒有對ETH的gasLimit進行限制，導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時，Beosin安全團隊通過BeosinTrace對被盜資金進行追蹤分析，FTX交易所損失81ETH，黑客通過DODO，Uniswap將XENToken換成ETH轉移。

BeosinTrace資金追蹤圖

4、事件總結

針對本次事件，Beosin安全團隊建議：1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gaslimit進行足夠小的限制。

Tags：FTXGASEOSSINKONGZ Vault (NFTX)UGAS幣NeosCoinSIMPSONSINU價格

XLM