9日加密项目XEN Crypto引起了免费铸造的热潮，大批钱包地址参与铸造。而在11日，有黑客利用FTX 免手续费漏洞零成本铸造XEN 代币1.7 万次，获得超过1 亿个XEN 代币，FTX 也因此损失了81 个ETH。

FTX 遭受Gas 窃取攻击

Opang 和X-explore 撰文称，FTX 遭受Gas 窃取攻击，有黑客零成本铸造XEN 代币1.7 万次。

漏洞分析称，FTX 提币免手续费，给攻击者零成本窃取带来极大便利。FTX 没有对接收方地址为合约地址进行任何限制，也没有对ETH 原生Token 的转帐Gas Limit 进行限制，而是采用estimateGas 方法评估手续费，这种方法导致Gas Limit 大部分为500,000，超出默认21,000 值的24 倍。

截至今日，该名攻击者利用FTX 免手续费漏洞进行超过1.7 万次铸造XEN 代币，FTX 消耗超过81 ETH 的手续费，而攻击者得手超过1 亿颗XEN ，并使用Uniswap 等去中心化交易所将XEN 卖出，得手61 ETH ，并转回FTX 和币安交易所。

目前X-explore 观测显示， FTX 小额转出到相同合约地址的异常情况仍在持续中。目前FTX 未对此事有进一步回应。

黑客利用FTX漏洞进行攻击的过程

攻击者（0x1d371CF00038421d6e57CFc31EEff7A09d4B8760）先是在10 日部署了多个攻击合约（如：0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3）

FTX 交易所的热钱包地址（0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94）向攻击合约连续多次转帐，每次金额大约0.0035 ETH 。

攻击者每次转帐到攻击合约，合约都会执行1 – 3 次子合约，而这些子合约正指定到XEN Crypto 进行Mint 或Claim 功能，于是攻击者表面上只是「转帐」，而执行合约全部的gas 费用都由FTX 负担了，而这些子合约在执行后都自动销毁。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。