PANews 10月13日消息,據Beosin EagleEye Web3安全預警與監控平台的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。 Beosin安全團隊對此事分析如下:
1.以其中一筆攻擊交易為例
(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)。
2.FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由於整個攻擊中創建了大量合約,並且每次執行完子合約之後,子合約都會自毀。
3.接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限(最小1天)進行鑄幣,鑄幣條件是只用支付調用gas費,並無其他成本,並且claimMintReward()函數為提取函數,該函數只判斷是否達到時間期限(本次黑客設置的時間期限為最小值1天),便可無條件提取。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。
4. 1-3中的步驟,重複多次,並且每次重複過程中都會將已到期的代幣提取出來,並且同時發起新的鑄幣請求。
截止發文時,通過Beosin Trace追踪發現,FTX交易所損失81 ETH,黑客通過DODO、Uniswap將XEN代幣換成ETH轉移。
此前早些時候消息, FTX遭受GAS竊取攻擊,黑客零成本鑄造XEN代幣17000次。
APP 
