Equipo de seguridad: análisis técnico del intercambio de FTX atacado por robo de gas

[Equipo de seguridad: análisis técnico del intercambio FTX atacado por robo de gas] El 13 de octubre, según las noticias de opinión pública de la plataforma de monitoreo y advertencia de seguridad Beosin EagleEye Web3, el intercambio FTX fue atacado por robo de gas y los piratas informáticos utilizaron el gas. pagado por FTX La tarifa acuña una gran cantidad de XEN TOKEN. El equipo de seguridad de Beosin analizó el incidente por primera vez y los resultados son los siguientes:

1. Tome una de las transacciones de ataque como ejemplo

(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69), el atacante primero despliega el contrato de ataque en la cadena (0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)

2. La dirección de la billetera activa FTX transferirá una pequeña cantidad de fondos a la dirección del contrato de ataque y utilizará el contrato de ataque (0xCba9...7FD3) para crear subcontratos en lotes. Dado que se crea una gran cantidad de contratos a lo largo del ataque, y cada vez que se ejecuta el subcontrato, el subcontrato se autodestruirá.

3. A continuación, la función fallback() del subcontrato inicia una solicitud de acuñación al contrato de Xen. En la siguiente función, la función ClaimRank() pasa un límite de tiempo (mínimo 1 día) para la acuñación. La condición de acuñación es para pagar solo la tarifa de gas de la llamada y nada más, y la función ClaimMintReward() es una función de extracción, que solo juzga si se alcanza el límite de tiempo (el límite de tiempo establecido por el hacker esta vez es el valor mínimo de 1 día) , y puede ser retirado incondicionalmente. Pero en este proceso de llamada, el iniciador de la transacción es la dirección de la billetera activa de FTX, por lo que la dirección de la billetera activa de FTX paga el gas en todo el proceso de llamada, y la dirección de acuñación de Xen es la dirección del atacante.

4. Los pasos del 1 al 3 se repiten varias veces, y los tokens caducados se retirarán durante cada repetición y, al mismo tiempo, se iniciará una nueva solicitud de acuñación.

En el momento de la publicación, a través del seguimiento de Beosin Trace, se descubrió que el intercambio FTX perdió 81ETH y el pirata informático intercambió el token XEN por ETH a través de DODO y Uniswap.

Otras noticias:

Equipo de seguridad: se encontró un sitio web de auditoría falso: según el Twitter oficial de CertiK, los miembros de la comunidad los están contactando sobre el sitio web de auditoría falso. Los usuarios buscan la URL de certik.com y estén atentos. [2022/9/12 13:24:08]

Equipo de seguridad: El incidente del ataque Flurry Finance usó el mecanismo de rebase de los tokens RhoToken: El 25 de abril, el equipo de seguridad de la cadena de bloques de Cobo analizó el incidente del ataque Flurry Finance y descubrió que este ataque es similar a la clásica máquina Oracle de manipulación de préstamos flash El método de ataque es diferente, pero utiliza el mecanismo de rebase de tokens RhoToken en Flurry Finance. La razón esencial de la vulnerabilidad es que la fórmula para calcular el multiplicador cuando el protocolo cambia la base de RhoToken se basa en datos controlables externamente (la cantidad de tokens en el banco). Como resultado, el atacante se dio cuenta de la manipulación del multiplicador a través del préstamo flash y luego obtuvo una ganancia. Aunque este ataque usó la técnica de forjar ERC20 para reescribir el método de aprobación y luego usar el contrato StrategyLiquidate de Rabbit Finance para ejecutar código arbitrario, el código del contrato involucrado en esta técnica en realidad no tiene problemas de seguridad. El equipo de seguridad de blockchain de Cobo recuerda que los desarrolladores deben prestar especial atención a si el contrato depende de algunos datos externos que pueden ser manipulados maliciosamente al calcular la cantidad y el precio de los activos. El modo de ataque típico del oráculo de manipulación de préstamos flash en realidad es causado por el cálculo de algunos indicadores clave en el proyecto que se basan en el precio de los tokens en el grupo DEX.

Según noticias anteriores, el 22 de febrero, Flurry Finance en la cadena BSC fue atacada por un préstamo relámpago, lo que resultó en el robo de activos por valor de cientos de miles de dólares en el contrato Vault del acuerdo. [2022/4/25 14:46:47]

Illuvium creó un equipo de seguridad y contrató a Quantstamp, PeckShield y white hat Samczun para completar auditorías adicionales: el 24 de marzo, el juego de cadena de juegos de rol Illuvium declaró que está creando un equipo de seguridad, un equipo de respuesta de emergencia y estableciendo procesos de seguridad relacionados, con el jefe del equipo de seguridad como el núcleo Aportado por Cag, quien anteriormente trabajó en Mozilla y Atlassian. Además, Illuvium también ha establecido una relación de cooperación con Zerofox, una plataforma de seguridad de red externa, para evitar acciones maliciosas como ataques de phishing, nombres de dominio falsos y fuga de datos, y tomar medidas enérgicas contra los sitios web de phishing y las cuentas sociales que fingen ser Illuvium o relacionados con Illuvium. Illuvium también realizó auditorías adicionales de sus contratos inteligentes, incluidos Quantstamp, PeckShield y white hat Samczun, y también lanzará un programa de recompensas por errores a través de Immunefi. A fines de diciembre del año pasado, Illuvium's Discord fue pirateado y se robaron alrededor de 41 billeteras con un valor de $ 150,000 en activos.En enero de este año, Illuvium descubrió una laguna en su contrato de compromiso, lo que provocó que el atacante acuñara una cantidad ilimitada de sILV. El contrato es fijo. [2022/3/24 14:15:55]