FTX遭受GAS窃取攻击黑客0成本铸造XEN Token 17000次

10月13日消息，据Beosin EagleEye Web3安全预警与监控平台的舆情消息，FTX交易所遭到gas窃取攻击，黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。Beosin安全团队第一时间对事件进行了分析，结果如下： 1.以其中一笔攻击交易为例 (0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)，攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3) 2.FTX热钱包地址会向攻击合约地址转入小额的资金，利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约，并且每次执行完子合约之后，子合约都会自毁。 3.接下来子合约fallback()函数去向Xen合约发起铸币请求，如下函数，claimRank()函数传入一个时间期限（最小1天）进行铸币，铸币条件是只用支付调用gas费，并无其他成本，并且claimMintReward()函数为提取函数，该函数只判断是否达到时间期限（本次黑客设置的时间期限为最小值1天），便可无条件提取。但在此次调用过程中，交易发起者为FTX热钱包地址，所以整个调用过程的gas都是由FTX热钱包地址所支付，而Xen铸币地址为攻击者地址。 4. 1-3中的步骤，重复多次，并且每次重复过程中都会将已到期的代币提取出来，并且同时发起新的铸币请求。 截止发文时，通过Beosin Trace追踪发现，FTX交易所损失81ETH，黑客通过DODO，Uniswap将XEN Token换成ETH转移。

金色财经报道，FTX新任首席执行官约翰-雷周六在Twitter上证实，上周五申请破产保护的FTX及其美国子公司FTX US昨晚遭到黑客攻击，该攻击使交易所的钱包中数亿美元的加密货币被抽出。在通过FTX的总法律顾问Ryne Miller在Twitter上发表的声明中，Ray表示FTX US和FTX.com "继续尽一切努力确保所有资产的安全，无论位于何处"。（coindesk）

11月12日，据Lookonchain数据显示，被标记为FTX攻击黑客地址正在将其资产兑换为无法冻结的DAI和ETH。该地址目前已获得价值1.89亿美元的ETH和DAI。 以下资产还未被出售，包括2300万MATIC（约合2200万美元）、73,350枚BNB(约合2000万美元)、5290万枚SRM（约合1860万美元）和260万枚LINK（约合1650万美元）等。

11月12日消息，FTX在其Telegram社群发文称：FTX被黑客攻击，资产已被窃取。所有App被篡改为恶意软件，请立即删除。

10月27日消息，XEN Crypto 创始人 Jack Levin 在其官方 Youtube 频道中宣布，XEN Crypto 将推出基于 NFT 技术的多重铸造功能 VMU（Virtual Minting Unit），用户启用该功能后将获得可用于交易的 XEN Torrent NFT。 Jack Levin 表示，用户使用多个钱包铸造 ZEN 的过程单一冗长，还会消耗大量 GAS 费。VMU 将优化铸币过程，用户不再需要重复创建钱包，而是可以直接进入 XEN Crypto 的网页版 App，选择多个 VMU，并一次性支付所需 Gas 费。 一旦用户启用 VMU，将会获得 NFTXEN Torrent。该 NFT 将会记录所有平行进行的铸币过程，并且可以在 OpenSea 上进行交易。

10月11日，据官方公告，TokenPocket 官网遭受异常流量攻击，技术团队正在进行紧急维护。技术维护期间，TokenPocket 网站将不能正常访问，用户资产安全不会受到影响。官方提醒用户提高警惕，注意识别欺诈风险。