安全团队：FTX交易所遭到gas窃取攻击事件技术分析

10月13日消息，据Beosin EagleEye Web3安全预警与监控平台的舆情消息，FTX交易所遭到gas窃取攻击，黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。Beosin安全团队第一时间对事件进行了分析，结果如下：

1.以其中一笔攻击交易为例

(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)，攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)

2.FTX热钱包地址会向攻击合约地址转入小额的资金，利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约，并且每次执行完子合约之后，子合约都会自毁。

3.接下来子合约fallback()函数去向Xen合约发起铸币请求，如下函数，claimRank()函数传入一个时间期限（最小1天）进行铸币，铸币条件是只用支付调用gas费，并无其他成本，并且claimMintReward()函数为提取函数，该函数只判断是否达到时间期限（本次黑客设置的时间期限为最小值1天），便可无条件提取。但在此次调用过程中，交易发起者为FTX热钱包地址，所以整个调用过程的gas都是由FTX热钱包地址所支付，而Xen铸币地址为攻击者地址。

4. 1-3中的步骤，重复多次，并且每次重复过程中都会将已到期的代币提取出来，并且同时发起新的铸币请求。

截止发文时，通过Beosin Trace追踪发现，FTX交易所损失81ETH，黑客通过DODO，Uniswap将XEN Token换成ETH转移。

其它快讯：

安全团队：ether-merges[.]org是钓鱼网站:金色财经报道，据派盾（PeckShield）监测，似乎经过认证的Twitter帐户@MahipalMahla被入侵，并被用来分享指向欺诈性的链接。ether-merges[.]org为钓鱼网站。注意警惕。[2022/10/14 14:27:36]

安全团队：多份报告显示@AzraGames Discord服务器遭到入侵:金色财经消息，据CertiK监测，@AzraGames Discord服务器遭到入侵，该团队正在努力恢复。[2022/8/17 12:30:15]

金色独家 慢雾安全团队：有至少6种途径导致 EOS 私钥被盗:针对 EOS 私钥被盗事件，金色财经特邀请慢雾安全团队对此事进行解读，慢雾安全团队表示：EOS 投票关键期频发私钥被盗问题，慢雾安全团队综合 Joinsec Red Team 攻防经验及地下黑客威胁情报分析，可能的被盗途径有：

1、使用了不安全的映射工具，映射使用的公私钥是工具开发者(攻击者)控制的，当 EOS 主网上线后，攻击者随即 updateauth 更新公私钥；

2、映射工具在网络传输时没有使用 SSL 加密，攻击者通过中间人的方式替换了映射使用的公私钥；

3、使用了不安全的 EOS 超级节点投票工具，工具开发者(攻击者)窃取了 EOS 私钥；

4、在不安全的 EOS “主网”、钱包上导入了私钥，攻击者窃取了 EOS 私钥；

5、用户存储私钥的媒介不安全，例如邮箱、备忘录等，可能存在弱口令被攻击者登录窃取到私钥；

6、在手机、电脑上复制私钥时，被恶意软件窃取。

同时，慢雾安全团队提醒用户自查资产，可使用公钥(EOS开头的字符串)在 https://eosflare.io/ 查询关联的账号是否无误，余额是否准确。如果发现异常并确认是被盗了，可参考 EOS 佳能社区 Bean 整理的文档进行操作 https://bihu.com/article/654254[2018/6/14]

相关资讯