安全团队：另有1600万枚USDC的新铸币进入流通

[安全团队：另有1600万枚USDC的新铸币进入流通]金色财经报道，派盾（PeckShield）监测显示，另有约1600万枚USDC的新铸币进入流通，此前今日上午已有约3000万枚USDC的新铸币进入流通。

安全团队：FTX交易所遭到gas窃取攻击事件技术分析:10月13日消息，据Beosin EagleEye Web3安全预警与监控平台的舆情消息，FTX交易所遭到gas窃取攻击，黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。Beosin安全团队第一时间对事件进行了分析，结果如下：

1.以其中一笔攻击交易为例

(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)，攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)

2.FTX热钱包地址会向攻击合约地址转入小额的资金，利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约，并且每次执行完子合约之后，子合约都会自毁。

3.接下来子合约fallback()函数去向Xen合约发起铸币请求，如下函数，claimRank()函数传入一个时间期限（最小1天）进行铸币，铸币条件是只用支付调用gas费，并无其他成本，并且claimMintReward()函数为提取函数，该函数只判断是否达到时间期限（本次黑客设置的时间期限为最小值1天），便可无条件提取。但在此次调用过程中，交易发起者为FTX热钱包地址，所以整个调用过程的gas都是由FTX热钱包地址所支付，而Xen铸币地址为攻击者地址。

4. 1-3中的步骤，重复多次，并且每次重复过程中都会将已到期的代币提取出来，并且同时发起新的铸币请求。

截止发文时，通过Beosin Trace追踪发现，FTX交易所损失81ETH，黑客通过DODO，Uniswap将XEN Token换成ETH转移。[2022/10/13 14:26:15]

安全团队：跨链DEX聚合器Transit Swap因任意外部调用问题被黑，被盗资金规模超2300万美元:10月2日消息，据慢雾安全团队情报，2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击，导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元，黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析：

1. 当用户在Transit Swap进行swap时，会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。

2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入，本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。

3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作，但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入，路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。

4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址，未对 calldata 数据进行具体检查。

5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据，此时兑换合约被指定为权限管理合约地址，兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。

此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查，导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。

截止到目前，黑客已将 2,500 BNB 转移到 Tornado Cash，剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现，黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]

安全团队：7月同一团队已进行至少7次针对Discord的攻击，盗取超200枚NFT:7月11日消息，据CertiK统计，仅在7月份就发现了至少7次针对Discord的攻击，背后都是同一个钓鱼网站。仅此个人/团队就盗取了超过200枚NFT。请用户注意防范。[2022/7/11 2:04:59]

郑重声明： 安全团队：另有1600万枚USDC的新铸币进入流通版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。