据慢雾区消息,以太坊 DeFi 项目 xToken 遭受攻击,损失近 2500 万美元,慢雾安全团队第一时间介入分析,结合官方事后发布的事故分析,我们将以通俗易懂的简讯形式分享给大家。
本次被黑的两个模块分别是 xToken 中的 xBNTa 合约和 xSNXa 合约。两个合约分别遭受了“假币”攻击和预言机操控攻击。
一)xBNTa 合约攻击分析
1. xBNTa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 BNT,使用的是 Bancor Netowrk 进行兑换,并根据 Bancor Network 返回的兑换数量进行铸币。
2. 在 mint 函数中存在一个 path 变量,用于在 Bancor Network 中进行 ETH 到 BNT 的兑换,但是 path 这个值是用户传入并可以操控的
3. 攻击者传入一个伪造的 path,使 xBNTa 合约使用攻击者传入的 path 来进行代币兑换,达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用 ETH/BNT 交易对进行兑换的限制,进而达到任意铸币的目的。
二)xSNXa 合约攻击分析
1. xSNXa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 xSNX,使用的是 Kyber Network 的聚合器进行兑换。
2. 攻击者可以通过闪电贷 Uniswap 中 ETH/SNX 交易对的价格进行操控,扰乱 SNX/ETH 交易对的报价,进而扰乱 Kyber Network 的报价。从而影响 xSNXa 合约的价格获取
3. 攻击者使用操控后的价格进行铸币,从而达到攻击目的。
总结:本次 xToken 项目被攻击充分展现了 DeFi 世界的复杂性,其中针对 xSNXa 的攻击更是闪电贷操控价格的惯用手法。慢雾安全团队建议 DeFi 项目开发团队在进行 DeFi 项目开发的时候要做好参数校验,同时在获取价格的地方需要防止预言机操控攻击,可使用 Uniswap 和 ChainLink 的预言机进行价格获取,并经过专业的安全团队进行审计, 保护财产安全。详情见官网。
慢雾余弦:超10万推特账号对应的friend.tech钱包地址泄露:金色财经报道,Yearn核心开发者banteg在社交媒体上表示,泄露的数据库显示,101,183人授予friend.tech访问权限,以他们的身份发布信息。
对此慢雾创始人余弦转发称,10多万推特账号对应的friend.tech钱包地址泄露。这些钱包地址随便往上一层做下关联,还能得到更多隐私。[2023/8/21 18:13:48]
慢雾:从Multichain流出的资金总额高达2.65亿美元,分布在9条链:金色财经报道,自7月7日以来,从 Multichain 流出的资金总额高达 2.65 亿美元,分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 链。其中 6582 万美元已经被 Circle 和 Tether 冻结,1,296,990.99 ICE(约 162 万美元) 被 Token 发行方 Burn。流出的资金中,包括:
1)从 Multichain: Old BSC Bridge 转出的 USDT;
2)从 Multichain: Fantom Bridge 转出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC;
3)从 Anyswap: Bridge Fantom 转出的 BIFI;
4)从 Multichain: Moonriver Bridge 转出的 USDC、USDT、DAI、WBTC;
5)从 MultiChain: Doge Bridge 转出的 USDC;
6)从 Multichain: Executor 转出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等;
7)从被 Etherscan 标记为 Fake_Phishing183873 的 0xe1910...49c53 转出的 WBTC、USDT、ETH,同时我们认为该标记(Fake Phishing183873)或许是 Etherscan 上的虚假标记,地址可能以前属于 Multichain 官方账户。[2023/7/11 10:48:30]
慢雾区:又有200ETH被盗:据慢雾“以太坊黑人节”专题网站监控显示,又有近200 ETH 被盗。攻击者(0x957cd…)在受害人收到 199 ETH 入账约三小时后,把受害人钱包内余额全部盗走。[2018/4/27]
金色财经报道,以太坊NFT游戏Axie Infinity的开发商Sky Mavis宣布完成了750万美元的A轮融资。Libertus Capital领投,达拉斯小牛队老板、亿万富翁Mark Cuban等投资者参与了投...
区块链:2021/5/12 21:50:59NFT平台Curio宣布发布HeavyMetal??杂志的官方授权NFT《重金属女性收藏》(TheWomenofHeavyMetal)。Curio将于太平洋时间5月12日10:00发行该系列的10个NFT中的第一个。...
区块链:2021/5/12 21:55:24根据TRM Labs的说法,子在埃隆·马斯克(Elon Musk)于8日亮相周六夜现场(SNL)时,在YouTube上发布了直播链接。子鼓励观众访问特定的网站,并称:“因为马斯克正在分发5亿枚狗狗币”。在受害者汇...
区块链:2021/5/12 21:51:03以太坊 2.0 测试网 Nocturne 完成第一笔转账,所有客户端皆完成交易执行且保持同步。 约74%的以太坊节点已在Bellatrix升级之前为合并做好准备:金色财经消息,根据Ethernodes的数据,...
区块链:2021/5/12 21:55:00金色财经报道,波卡生态DeFi和预测市场Polkamarkets宣布集成智能合约平台Moonbeam Network。通过该集成,可加速Polkamarkets的预测市场技术向Polkadot的迁移。 波卡生...
区块链:2021/5/12 21:55:17火币全球站数据显示,UNI短线上涨,突破44美元关口,现报44.0007美元,日内涨幅达到17.91%,行情波动较大,请做好风险控制。 Nansen CEO:过去24小时仅币安与Uniswap上以太坊交易额超...
区块链:2021/5/12 21:52:56最新消息,特斯拉CEO马斯克昨日在推特上发起的“是否希望特斯拉接受狗狗币Doge支付?”的投票刚刚结束,最终结果显示,78.2%的投票者支持“特斯拉接受狗狗币支付”,22.1%的投票者反对“特斯拉接受狗狗币支付”,总...
区块链:2021/5/12 21:53:28以太坊扩容网络Arbitrum发布公告称,将于5月28日向开发者开放主网。此前,Arbitrum曾称主网中不会添加Sequencer,因此无法实现交易的即时响应,无法实现与以太坊相同的延迟。但此次公告中做出了调整,主...
区块链:2021/5/13 21:56:04欧易OKEx数据显示,YFI短线上涨,突破75000美元关口,现报75020.0美元,日内涨幅达到37.18%,行情波动较大,请做好风险控制。 YFI创始人推出新项目Keep3r Network v1测试版:...
区块链:2021/5/12 21:50:35火币全球站数据显示,MDX短线上涨,突破3.2美元关口,现报3.2066美元,日内涨幅达到8.79%,行情波动较大,请做好风险控制。 MDX突破5.1美元关口 日内涨幅为15.6%:火币全球站数据显示,MDX...
区块链:2021/5/12 21:53:10火币全球站数据显示,AAVE短线上涨,突破570美元,现报571.2885美元,日内涨幅达到27.61%,行情波动较大,请做好风险控制。 过去30分钟内,2个地址从Binance提取了108961枚AAVE:...
区块链:2021/5/13 21:55:42美国著名对冲基金经理阿克曼认为,加密货币是一项出色的技术,而且令人着迷,但自己不会花钱于欠缺内在价值的加密货币上。若花大量金钱投资在加密货币会感到不安,而且假如他听到有朋友将大量金钱投放在加密货币,会建议他将投资分散...
区块链:2021/5/13 21:58:33
链资讯