「金色财经」据10月13日消息,BeosinEagleEyeWeb3安全预警和监控平台舆情消息,FTX
交易所遭到gas黑客利用盗窃攻击FTX支付的gas大量的成本铸造XENTOKEN。Beosin安全团队第一时间对事件进行了分析,结果如下:1.以其中一笔攻击交易为例(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻击者首先在链上部署攻击合同(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)2.FTX利用攻击合同(0xCba9...7FD3)批量创建子合同。由于整个攻击中创建了大量合同,每次子合同执行后,子
合约都会自毁。3.下一份合同fallback()函数去向Xen合同发起铸币请求,如下函数,claimRank()函数进入一个时间限制(至少1天)进行铸币,铸币条件仅通过支付调用gas费用,没有其他费用,而且claimMintReward()函数是提取函数,该函数只能无条件提取,以判断是否达到时间限制(黑客设置的时间限制为最小值1天)。但在调用过程中,交易发起人是FTX热
钱包地址,所以整个调用过程gas都是由FTX热钱包地址支付,Xen铸币地址是攻击者地址。但在调用过程中,交易发起人是FTX热钱包地址,所以整个调用过程gas都是由FTX热钱包地址支付,Xen铸币地址为攻击者地址。.1-3步骤重复多次,每次重复都会提取到期代币,同时发起新的铸币请求。截止发文时,通过BeosinTrace追踪发现,FTX交易所损失81ETH,黑客通过DODO,Uniswap将XENToken换成ETH转移。
