2022年10月13日,據據BeosinEagleEyeWeb3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。
金色財經邀請Beosin安全團隊第一時間對事件進行了分析,結果如下:
1、事件相關信息
其中一部分攻擊交易:
0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94
OPNX治理代幣OX質押服務在DeBank上線:金色財經報道,據三箭資本創始人Zhu Su等人創辦的加密索賠和交易平臺Open Exchange(OPNX)官推發布信息,其治理代幣OX的質押服務已在DeBank上線。OX允許用戶通過質押以免費交易,其中如果交易者所持有的OX總量占比等于或大于其OPNX交易總量占比,則可獲得100%的交易費用返還,超出免費交易額度的質押者將在剩余部分上獲得50%的交易費用返還,所有交易費用返利都以OX形式支付給持幣用戶。[2023/6/10 21:28:37]
其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)
Galaxy Digital財報:一季度凈收入1.34億美元:5月9日消息,專注于數字資產的金融服務和投資管理公司Galaxy Digital公布一季度財報,一季度營收為1.4674億美元,凈收入1.34億美元,收入主要歸因于數字資產收益和未實現的投資收益,相比之下而截至2022年12月31日的季度凈虧損為2.88億美元。一季度Galaxy Digital衍生品收益為5500萬美元。Galaxy Digital流動性包括4億美元的現金和4.14億美元的凈數字資產,其中包括2.09億美元的非算法穩定幣。現金和穩定幣余額比年底減少了2.14億美元,這主要是由于未償還的法定貸款、GK8收購和投資的付款增加。另外,Galaxy Digital與DWS達成戰略聯盟,在歐洲開發數字資產管理解決方案。[2023/5/9 14:52:40]
2、攻擊流程
觀點:通貨膨脹傷害了審慎的儲蓄者,而比特幣會給未來帶來希望:8月3日消息,儲蓄能力是自我調節和規劃未來的重要工具,但當通貨膨脹變得不可控制時,那些努力延遲滿足的人會為他們的選擇受到懲罰。另一方面,臨床心理學家Jordan Peterson認為,比特幣的作用恰恰相反。
根據Peterson的說法,惡性通貨膨脹傷害了那些耐心投入工作并為未來儲蓄的人。他將這些人描述為“我們社會的支柱”,Peterson認為,這些人對文明的安全和生存至關重要。
他強調,在通貨膨脹扭曲市場的情況下,比特幣卻沒有受到這種扭曲或干擾,這是他對比特幣感興趣的原因之一。這位心理學家表示,加密貨幣使自由市場成為可能。(Cointelegraph)[2022/8/3 2:56:42]
以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀,所以以下圖為例部分展示。
騰訊動漫發行《大王饒命》限定藏品:金色財經消息,騰訊動漫超人氣爆款IP《大王饒命》將發行數字藏品,正式發行時間為2022年7月14日12點,目前已在騰訊動漫APP開啟預約。
該藏品為獨家定制潮酷懟懟曲,由原著作者“會說話的肘子”和“大九_LN”作詞,人氣虛擬主播“阿薩AZA”演唱。藏品共4款,每款限量發行1050份。藏品發售由騰訊區塊鏈提供技術支持,每份藏品在騰訊區塊鏈上均有唯一標識,收藏者擁有專屬區塊鏈證書,并且支持轉贈。[2022/7/12 2:07:35]
?第三步,接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintRewardAndShare()函數為提取函數,該函數只判斷是否達到時間期限,便可無條件提取到任何非零地址。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。
前三個步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求,黑客達成他的目標。
3、漏洞分析
本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制,也沒有對ETH的gasLimit進行限制,導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時,Beosin安全團隊通過BeosinTrace對被盜資金進行追蹤分析,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XENToken換成ETH轉移。
BeosinTrace資金追蹤圖
4、事件總結
針對本次事件,Beosin安全團隊建議:1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gaslimit進行足夠小的限制。
Tags:FTXGASEOSSINKONGZ Vault (NFTX)UGAS幣NeosCoinSIMPSONSINU價格
隨著NFT市場的發展,很多大型項目去年的交易量達到了數十億美元,還有一些項目影響力不斷上升。他們當中的一部分已經吸引了Web3和傳統公司的大量關注.
1900/1/1 0:00:00頭條 ▌英國計劃成為加密貨幣和區塊鏈中心金色財經報道,將區塊鏈技術用作存儲文件的解決方案所必需的立法已獲得英國政府的批準。在10月13日的新聞稿中英國宣布,希望在處理官方文件時不再使用紙張.
1900/1/1 0:00:00作者:黃婉儀 城市自身的需求,為元宇宙企業技術和產品落地提供了更加廣闊的前景。近期,廣州南沙區上線了全國首個元宇宙政務服務大廳,推出在3D空間進行數字化政務辦理業務,成為又一重磅元宇宙落地項目.
1900/1/1 0:00:0010月12日消息,孫宇晨在接受采訪時表示,對加密貨幣重返中國持樂觀態度,加密是一種無法孤立的世界趨勢.
1900/1/1 0:00:00在剛剛過去的這輪長達兩年的牛市中,市場不但見證了多鏈生態的迅速崛起,更直接目睹了眾多跨鏈橋產品的迅速爆發.
1900/1/1 0:00:00作者:YuanShan@iNFTnews.comWeb3領域還在持續上演精彩的故事,這些故事令資本翹首以盼,也令大眾充滿期待.
1900/1/1 0:00:00