币圈子(120BTC.COM)讯:这礼拜天(9日)创世上线引起一股免费铸造热潮的XEN Crypto,由于其代币铸造机制采用PoP参与证明,仅需使用钱包签署合约、付出gas费用就能铸造,这也造成大批社群使用机器人和大量钱包地址进行铸造,11日时甚至有黑者利用FTX提币免手续费,铸造XEN多达1.7万次。
利用FTX免手续费漏洞
根据链上监控X-explore与Opang的研究,攻击者(0x1d371CF00038421d6e57CFc31EEff7A09d4B8760)先是在10日部署了多个攻击合约(如:0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)
FTX交易所的热钱包地址(0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94)向攻击合约连续多次转账,每次金额大约0.0035ETH。
攻击者每次转账到攻击合约,合约都会执行1–3次子合约,而这些子合约正指定到XEN Crypto进行Mint或Claim功能,于是攻击者表面上只是「转账」,而执行合约全部的gas费用都由FTX负担了,而这些子合约在执行后都自动销毁。
FTX损失81ETH
由于FTX转账并没有接受方为合约地址的任何限制,也没有对ETH原生代币的转账gaslimit进行限制,而是采用estimate Gas方法评估手续费。截至今日,该名攻击者利用FTX免手续费漏洞进行超过1.7万次铸造XEN代币,FTX消耗超过81ETH的手续费,而攻击者得手超过1亿枚XEN,并使用Uniswap等去中心化交易所将XEN卖出,得手61ETH,并转回FTX和币安交易所。
目前X-explore观测显示,FTX小额转出到相同合约地址的异常情况仍在持续中。目前FTX未对此事有进一步回应。