9日加密项目XEN Crypto引发免费铸造热潮,众多钱包地址参与铸造。11日,有黑客利用FTX免手续费零漏洞成本万次铸造XEN令牌,获得1亿多个XEN令牌,FTX也损失81个ETH。 FTX受到了Gas盗窃攻击 Opang和X-explore写道,FTX受到了Gas盗窃攻击,黑客以零成本铸造了XEN令牌一万次。 脆弱性分析显示,FTX的货币采购免除了手续费,给攻击者零成本盗窃带来极大便利。FTX对接收者地址是合同地址没有任何限制,对ETH本机令牌的转账Gas限制也没有限制,使用estimateGas方法评估手续费,该方法使得Gas限制的大部分为500000,超过默认21000值的24倍。 这位攻击者到今天为止利用FTX免手续费的漏洞铸造了一万多次XEN令牌,FTX消费了超过81ETH的手续费,但攻击者得到了1亿多个XEN,使用Uniswap等前往中心化交易所出售XEN,得到61ETH,回到FTX和钱币安交易所。 目前,根据X-explore观测,FTX向同一合同地址小额转出的异常仍在继续。目前,FTX对此事没有进一步回应。 黑客利用FTX漏洞攻击的过程 攻击者(0x1d371CF00038421d6e57CFc31EEff7A09d4B8760)首先在10日部署了多个攻击合同(例如0xCba9b1Fd69626932c704 DAc4CB58c29244A47FD3、 FTX交易所的热钱包地址(0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94、与攻击合同连续进行多次转账,一次的金额为ETH左右。 每次攻击者转移到攻击合同,合同都会执行1-3的次子合同,但由于这些子合同在XEN Crypto中指定了Mint或Claim功能,攻击者表面上只是“转移”,执行合同的所有gas费用都由FTX承担,这些子合同在执行后会自动销毁。 郑重声明:本文版权归原作者所有,转载文章如作者信息标记有误,请先联系我们修改或删除,谢谢。
© 版权声明
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
THE END
喜欢就支持一下吧
