猖獗黑客“薅”交易所羊毛？FTX交易所遭到Gas窃取攻击事件分析_TUBE:FTX

2022年10月13日，据据Beosin EagleEye Web3安全预警与监控平台的舆情消息，FTX交易所遭到gas窃取攻击，黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。

金色财经邀请Beosin安全团队第一时间对事件进行了分析，结果如下：

其中一部分攻击交易：

0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94

Animoca Brands收购澳大利亚数字服务机构Be Media 67% 的股份:4月19日消息，Animoca Brands收购了总部位于澳大利亚社交数字服务机构 67% 的股份，收购金额尚未公开。Be Media将利用游戏公司现有的IP和新的去中心化产品，协助Animoca与澳大利亚主要品牌建立合作伙伴关系。

Be Media 创始人Jordan Fogarty将保留营销机构的“重要少数股权”，并继续担任首席执行官，负责所有业务运营。Fogarty也是Animoca Brands的早期投资者，此前曾担任OliveX Holdings的董事会成员，OliveX Holdings是一家由 Animoca 创建和分拆的健身虚拟世界公司。[2022/4/19 14:32:40]

其中一个攻击者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一个攻击合约0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻击地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX热钱包地址)

zkTube 将于10月27日在莫斯科Blockchain Life盛会参展:据官方消息，zkTube将于本月27日参展莫斯科Blockchain Life 2021，该会议是本年度全球区块链和加密货币规模最大的盛会之一。

zkTube作为本次活动的赞助商之一，将在现场设立展位并由zkTube欧洲大使发表主题演讲，分享项目在Layer 2领域取得的成果。同时，也希望通过本次会议在欧洲对接更多技术和商业合作，促进生态建设和提高zkTube全球影响力。[2021/10/11 20:21:04]

以其中一笔攻击交易为例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步，攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步，FTX热钱包地址会向攻击合约地址转入小额的资金，利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约，并且每次执行完子合约之后，子合约都会自毁，所以以下图为例部分展示。

zkTube v2 Mining测试网重置指令:据zkTube Labs官方消息：在通过内部测试流程后，zkTube Network更新后的公测版本将在 2021 年 7 月 28 日（UTC 0:00）前发布。此次更新中，已完成了对该状态中“Keys”的 “Peer to Peer ”下载协议的优化。

zkTube团队会进行强制更新，（原版本将无法继续使用）用户需要进行如下操作：

1. 通过官网公告发布的链接，更新 docker-compose.yml 文件：

2. 执行“docker-compose pull”的更新mirror image

需要注意的是：在启动 prover的环节中，该配置文件是必不可少的部分，为确保测试网络的体验顺畅，请大家务必及时下载更新。[2021/7/28 1:19:15]

IoTeX跨链协议ioTube v5 Beta版本上线:据官方消息，高性能公链IoTeX跨链协议ioTube v5 推出全新界面和UI/UX，极大提高用户体验，实现无缝丝滑的资产跨链，全面支持Polygon(Matic)，以太坊和BSC三链，支持Web3 Metamask钱包一键使用。

据悉，IoTeX作为硅谷开源项目成立于2017年，以链接现实世界和数字世界为发展目标，是与以太坊全兼容的高性能公有区块链。[2021/7/22 1:09:31]

 第三步，接下来子合约fallback()函数去向Xen合约发起铸币请求，如下函数，claimRank()函数传入一个时间期限（最小1天）进行铸币，铸币条件是只用支付调用gas费，并无其他成本，并且claimMintRewardAndShare()函数为提取函数，该函数只判断是否达到时间期限（本次黑客设置的时间期限为最小值1天），便可无条件提取到任何非零地址。但在此次调用过程中，交易发起者为FTX热钱包地址，所以整个调用过程的gas都是由FTX热钱包地址所支付，而Xen铸币地址为攻击者地址。

前三个步骤，重复多次，并且每次重复过程中都会将已到期的代币提取出来，并且同时发起新的铸币请求，黑客达成他的目标。

本次攻击主要利用了FTX项目没有对接收方为合约地址进行任何限制，也没有对ETH的gas Limit进行限制，导致攻击可以利用合约来铸造XEN代币进行获利。截止发文时，Beosin安全团队通过Beosin Trace对被盗资金进行追踪分析，FTX交易所损失81ETH，黑客通过DODO，Uniswap将XEN Token换成ETH转移。

Beosin Trace资金追踪图

针对本次事件，Beosin安全团队建议：1.对钱包接收为合约的地址进行限制。2.对业务中存在gas风险的业务对gas limit进行足够小的限制。

Beosin

企业专栏

阅读更多

白话区块链

金色财经Maxwell

NFT中文社区

CoinDesk中文

达瓴智库

去中心化金融社区

金色荐读

肖飒lawyer

CT中文

ETH中文

ForesightNews

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。