黑客利用FTX免费提币！0成本铸XEN Crypto1.7万次 损失超81ETH

这礼拜天(9日)创世上线引起一股免费铸造热潮的XEN Crypto，由于其代币铸造机制采用PoP参与证明，仅需使用钱包签署合约、付出gas费用就能铸造，这也造成大批社群使用机器人和大量钱包地址进行铸造，11日时甚至有黑者利用FTX提币免手续费，铸造XEN多达1.7万次。

利用FTX免手续费漏洞

根据链上监控X-explore与Opang的研究，攻击者(0x1d371CF00038421d6e57CFc31EEff7A09d4B8760)先是在10日部署了多个攻击合约(如：0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)

FTX交易所的热钱包地址(0xC098B2a3Aa256D2140208C3de6543aAEf5cd3A94)向攻击合约连续多次转账，每次金额大约0.0035ETH。

攻击者每次转账到攻击合约，合约都会执行1–3次子合约，而这些子合约正指定到XEN Crypto进行Mint或Claim功能，于是攻击者表面上只是「转账」，而执行合约全部的gas费用都由FTX负担了，而这些子合约在执行后都自动销毁。

FTX损失81ETH

由于FTX转账并没有接受方为合约地址的任何限制，也没有对ETH原生代币的转账gaslimit进行限制，而是采用estimate Gas方法评估手续费。截至今日，该名攻击者利用FTX免手续费漏洞进行超过1.7万次铸造XEN代币，FTX消耗超过81ETH的手续费，而攻击者得手超过1亿枚XEN，并使用Uniswap等去中心化交易所将XEN卖出，得手61ETH，并转回FTX和币安交易所。

目前X-explore观测显示，FTX小额转出到相同合约地址的异常情况仍在持续中。目前FTX未对此事有进一步回应。