猖獗黑客“薅”交易所羊毛?FTX交易所遭到Gas窃取攻击事件分析

2022年10月13日,据据BeosinEagleEyeWeb3安全预警与监控平台的舆情消息,FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XENTOKEN。

金色财经邀请Beosin安全团队第一时间对事件进行了分析,结果如下:

1、事件相关信息

其中一部分攻击交易:

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

The Verge:马斯克接管首周,推特用户增长创历史新高:金色财经报道,据美国科技媒体The Verge:马斯克接管首周,推特用户增长创历史新高。[2022/11/8 12:30:11]

其中一个攻击者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一个攻击合约0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻击地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX热钱包地址)

2、攻击流程

以其中一笔攻击交易为例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX热钱包地址会向攻击合约地址转入小额的资金,利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约,并且每次执行完子合约之后,子合约都会自毁,所以以下图为例部分展示。

Creepz Genesis系列NFT近24小时交易额增幅超600%:金色财经报道,OpenSea数据显示,Creepz Genesis系列NFT近24小时交易额为160 ETH,增幅达687%。24小时交易额排名位列OpenSea第9。[2022/10/5 18:39:52]

美国司法部对四起加密货币相关案件被告提起刑事指控:7月1日消息,美国司法部与联邦执法合作伙伴宣布对 Baller Ape Club、EmpiresX、TBIS 和 Circle Society 四起不同案件中的六名被告提起刑事指控,指控涉嫌参与加密货币相关欺诈。报告指出,Baller Ape Club NFT 系列在公开发售后进行了 Rug Pull,Le Anh Tuan 和其同谋共从投资者那里获得了大约 260 万美元。加密货币投资平台 Titanium Blockchain Infrastructure Services(TBIS)首席执行官和创始人 Michael Alan Stollery 被指控参与涉及 TBIS 首次代币发行的加密货币欺诈计划,该计划从美国和海外投资者那里筹集了约 2100 万美元。加密货币投资平台 Circle Society 所有者 David Saffron 以欺诈方式从投资者那里筹集到约 1200 万美元。[2022/7/1 1:43:40]

?第三步,接下来子合约fallback()函数去向Xen合约发起铸币请求,如下函数,claimRank()函数传入一个时间期限进行铸币,铸币条件是只用支付调用gas费,并无其他成本,并且claimMintRewardAndShare()函数为提取函数,该函数只判断是否达到时间期限,便可无条件提取到任何非零地址。但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址。

“Machi大哥”黄立成被曝曾推出十余个垃圾项目,并涉嫌挪用巨额资金:6月17日消息,据加密KOL zachxbt发文称,黄立成(Jeffrey Huang)先后推出了Mithril(MITH)、Formosa Financial(FMF)、Machi X、Cream Finance(CREAM)、Swag Finance(SWAG)等数十个垃圾项目,其中Formosa Financial出现挪用22,000 ETH资金的情况,Cream Finance曾3次遭受黑客攻击共计损失超1.92亿美元,其余多个项目出现上线数日后夭折、项目Token拉高后暴跌以及Rug Pull等情况。文中称在Jeff的许多项目中,能够看到相同的反复出现的主题:匿名团队、分叉项目、通过FTX资助的新钱包以及较短的生命周期。

对此,黄立成在社交媒体上发文表示该质控为不实信息。若爆料者非匿名,黄立成将起诉其诽谤。[2022/6/17 4:33:14]

前三个步骤,重复多次,并且每次重复过程中都会将已到期的代币提取出来,并且同时发起新的铸币请求,黑客达成他的目标。

3、漏洞分析

本次攻击主要利用了FTX项目没有对接收方为合约地址进行任何限制,也没有对ETH的gasLimit进行限制,导致攻击可以利用合约来铸造XEN代币进行获利。截止发文时,Beosin安全团队通过BeosinTrace对被盗资金进行追踪分析,FTX交易所损失81ETH,黑客通过DODO,Uniswap将XENToken换成ETH转移。

BeosinTrace资金追踪图

4、事件总结

针对本次事件,Beosin安全团队建议:1.对钱包接收为合约的地址进行限制。2.对业务中存在gas风险的业务对gaslimit进行足够小的限制。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

Coinw波哥大Devcon:仪式感大于技术应用

波哥大的devcon,对我而言,更多是一个仪式,核心不是了解了多少技术干货,而是切实体会以太坊的变迁。这次大会的颇有以太建国的气势了,再也不是躲在洞窑的散兵,也不是一个人孤军奋战,而是百万雄狮过大江,以太的三大联邦展台都挨在一起.

[0:15ms0-1:789ms