11日時有攻擊者利用FTX交易所免費提幣的便利,使用匯款到智能合約,自動執行 XEN Crypto 鑄造的指令多達 1.7 萬次,FTX 損失超過 81 ETH的 Gas 費用。
(前情提要:熱門觀察》XEN Crypto 短炒撐不起長價「註定失敗」,卻實際利好以太坊 )
(背景補充:XEN團隊疑雲》創辦人真是Google前員工?曾參與歸零項目? )
這禮拜天(9日)創世上線引起一股免費鑄造熱潮的 XEN Crypto,由於其代幣鑄造機制採用 PoP 參與證明,意謂僅需使用錢包簽署合約、付出 gas 費用就能鑄造,這也造成大批社群使用機器人和大量錢包地址進行鑄造,11日時甚至有駭者利用 FTX 提幣免手續費,鑄造 XEN 多達 1.7 萬次。
利用 FTX 免手續費漏洞
根據鏈上監控 X-explore 與 Opang 的研究,攻擊者(0x1d371CF00038421d6e57CFc31EEff7A09d4B8760)先是在 10 日部署了多個攻擊合約(如:0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)
FTX 交易所的熱錢包地址(0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94)向攻擊合約連續多次轉帳,每次金額大約 0.0035 ETH 。
攻擊者每次轉帳到攻擊合約,合約都會執行 1 – 3 次子合約,而這些子合約正指定到 XEN Crypto 進行 Mint 或 Claim 功能,於是攻擊者表面上只是「轉帳」,而執行合約全部的 gas 費用都由 FTX 負擔了,而這些子合約在執行後都自動銷毀。
FTX 損失 81 ETH
由於 FTX 轉帳並沒有接受方為合約地址的任何限制,也沒有對 ETH 原生代幣的轉帳 gas limit 進行限制,而是採用 estimateGas 方法評估手續費。截至今日,該名攻擊者利用 FTX 免手續費漏洞進行超過 1.7 萬次鑄造 XEN 代幣,FTX 消耗超過 81 ETH 的手續費,而攻擊者得手超過 1 億顆 XEN ,並使用 Uniswap 等去中心化交易所將 XEN 賣出,得手 61 ETH ,並轉回 FTX 和幣安交易所。
目前 X-explore 觀測顯示, FTX 小額轉出到相同合約地址的異常情況仍在持續中。目前 FTX 未對此事有進一步回應。
📍相關報導📍
熱門觀察》XEN Crypto 短炒撐不起長價「註定失敗」,卻實際利好以太坊
XEN團隊疑雲》創辦人真是Google前員工?曾參與歸零項目?
XEN上架MEXC一度暴漲180倍!一天燒掉 1,346 ETH 的gas費、參與錢包地址突破40萬
