2022年10月13日,據據BeosinEagleEyeWeb3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XENTOKEN。
金色財經邀請Beosin安全團隊第一時間對事件進行了分析,結果如下:
1、事件相關信息
其中一部分攻擊交易:
0xc96b84cd834655290aa4bae7de80a3c117cc19d414f5bcf2fb85b8c5544300890x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d690x6bada8e084f8d3b62311f0b6eda10f2690e7542dab75a0de436a640036bccf94
Circle CEO:不會對硅谷銀行感到“憤怒”,問題主因是不斷升高的美元利率:金色財經報道,Circle首席執行官Jeremy Allaire在CNBC最新采訪中表示,如果美國政府不介入硅谷銀行,Circle將采取“預防措施”,包括使用Circle自己的企業資產負債表和外部資金,因此在資金方面很有信心,幸運的是Circle現在不用這么做。Jeremy Allaire還表示自己不會對硅谷銀行的行為感到“憤怒(angry)”,因為造成這些問題的主要原因是不斷升高的美元利率。[2023/3/15 13:04:32]
其中一個攻擊者地址0x1d371CF00038421d6e57CFc31EEff7A09d4B8760其中一個攻擊合約0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3被攻擊地址0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94(FTX熱錢包地址)
Aztec完成1億美元B輪融資:金色財經報道,Aztec宣布完成1億美元B輪融資,A16z領投,A Capital、Variant 、SV Angel、HashKey Capital、Fenbushi Capital、Alumni Ventures等參投。
融資將被用于在全球范圍內擴展工程師團隊。在過去的一年中,Aztec團隊已經從7人擴大到40人規模,目前Aztec希望在短期內將這個數字翻一番。[2022/12/16 21:47:54]
2、攻擊流程
以其中一筆攻擊交易為例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)第一步,攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)第二步,FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀,所以以下圖為例部分展示。
分布式資本沈波:價值4200萬美元的個人資產錢包被盜:金色財經報道,分布式資本創始人沈波在推特表示,“個人常用894結尾錢包,共4200萬美元價值資產,其中包含3800萬枚USDC在紐約時間11月10日凌晨被盜。被盜資產為個人資金,與分布式相關基金無關。目前已當地報案,FBI與律師均已介入。”[2022/11/23 8:00:05]
彭博分析師:2萬美元可能是比特幣的重要支撐價位:6月19日消息,Bloomberg Intelligence高級大宗商品策略師Mike McGlone近日表示,比特幣的2萬美元區間可能會成為新的價格底線,類似于過去幾年5000美元區間發揮的作用。
據悉,在2018年熊市期間,5000美元的價格區間在大約一年時間里提供支撐。2020年,盡管BTC曾多次短暫突破該區間,但5000美元的水平也起到支撐作用。(The Daily Hodl)[2022/6/19 4:38:36]
?第三步,接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintRewardAndShare()函數為提取函數,該函數只判斷是否達到時間期限,便可無條件提取到任何非零地址。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。
前三個步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求,黑客達成他的目標。
3、漏洞分析
本次攻擊主要利用了FTX項目沒有對接收方為合約地址進行任何限制,也沒有對ETH的gasLimit進行限制,導致攻擊可以利用合約來鑄造XEN代幣進行獲利。截止發文時,Beosin安全團隊通過BeosinTrace對被盜資金進行追蹤分析,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XENToken換成ETH轉移。
BeosinTrace資金追蹤圖
4、事件總結
針對本次事件,Beosin安全團隊建議:1.對錢包接收為合約的地址進行限制。2.對業務中存在gas風險的業務對gaslimit進行足夠小的限制。
作者:BenjaminThalman,Figment協議研究員;譯者:金色財經xiaozou使以太坊更具可擴展性有助于促進其更廣泛的采用,并確保以太坊網絡的長期成功.
1900/1/1 0:00:00文/DonovanChoy,Bankless2022年8月8日,美國財政部制裁TornadoCash。每個人都知道監管機構討厭加密貨幣,但制裁DeFi讓人感到意外.
1900/1/1 0:00:00文:《中國企業家》劉煒祺去新加坡的中國投資人,邊躺平邊努力。五個小時的長途飛行后,9月23日,投資機構HeroGroup合伙人JackYi從上海到達新加坡樟宜機場.
1900/1/1 0:00:00撰寫:WillComyns,?ShimaCapital編譯:深潮TechFlowDeFi一直存在代幣價值累積和保留問題,現在是解決這個問題的最好時機.
1900/1/1 0:00:00注:本文基于Optimism團隊研究員、前以太坊基金會研究員Protolambda于今年7月在EthCCParis所做的演講進行編譯,并參考了其他優秀的文章進行整理(在文末列出).
1900/1/1 0:00:00以太坊的發展路線越來越傾向于ModularBlockchain,其本質就是Layer1的datasharding和Layer2的Rollups擴容相結合,成為一種模塊化架構.
1900/1/1 0:00:00