EOS:Beosin：FTX 遭 Gas 竊取攻擊事件技術分析

Beosin安全團隊針對FTX遭Gas竊取攻擊事件分析稱，以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)，攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)。

Beosin：BSC上項目Swap-LP項目遭受攻擊，損失609個ETH，約100萬美元:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年5月20日，BSC上項目Swap-LP項目遭受攻擊，攻擊者地址0xdEAd40082286F7e57a56D6e5EFE242b9AC83B137，累計獲利609個ETH，約100萬美元。資金仍在攻擊者地址。[2023/5/20 15:15:18]

FTX熱錢包地址會向攻擊合約地址轉入小額的資金，利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約，并且每次執行完子合約之后，子合約都會自毀。

Beosin：Thoreum Finance項目被黑客攻擊，被盜資金約58萬美元:金色財經報道，據Beosin EagleEye 安全預警與監控平臺檢測顯示，Thoreum Finance項目被黑客攻擊，涉及金額約為58萬美元。由于ThoreumFinance項目方創建的未開源合約0x79fe的transfer函數疑似存在漏洞，當transfer函數的from和to地址相同時，由于使用臨時變量存儲余額，導致給自己轉賬時，余額會成倍增加，攻擊者重復操作多次，最終獲利2000BNB。

Beosin安全團隊通過Beosin Trace進行追蹤，發現被盜資金已全部轉入tornado cash。[2023/1/19 11:21:19]

接下來子合約fallback()函數去向Xen合約發起鑄幣請求，如下函數，claimRank()函數傳入一個時間期限進行鑄幣，鑄幣條件是只用支付調用gas費，并無其他成本，并且claimMintReward()函數為提取函數，該函數只判斷是否達到時間期限，便可無條件提取。但在此次調用過程中，交易發起者為FTX熱錢包地址，所以整個調用過程的Gas都是由FTX熱錢包地址所支付，而Xen鑄幣地址為攻擊者地址。

LLE智能合約已通過Beosin(成都鏈安）的安全審計:據官方消息，Beosin（成都鏈安）今日已完成LLE智能合約項目的安全審計服務。

獵豹金融生態系統（Leopard lending ecology）是在以太坊區塊鏈上的智能協議，以該協議為中心建立貨幣服務市場，服務市場是基于資產借貸需求，以計算得出利率。資產的供應商直接與協議進行交互，從而賺取浮動利率，而無需等待協商利率或抵押品等條款。

創始人Willians表示：我們LLE智能合約的整體設計清晰，邏輯縝密，代碼安全可靠，具備了區塊鏈上頂級去中心化金融項目條件之一。

合約地址：0xa1521aA6FE752195418ddbADB5A0c331608416B1；

審計報告編號：202009222010。[2020/9/24]

前三個步驟重復多次，并且每次重復過程中都會將已到期的代幣提取出來，并且同時發起新的鑄幣請求。

截止發文時，通過BeosinTrace追蹤發現，FTX交易所損失81ETH，黑客通過DODO、Uniswap將XENToken換成ETH轉移。

Tags：EOSSINFTXETHLEOS幣kingsinbaGameStop tokenized stock FTXethnographyofcommunication

酷幣交易所