链捕手消息,以太坊DeFi项目xToken遭受攻击,损失近2500万美元,慢雾安全团队介入分析,得出造成本次攻击的原因如下:
本次被黑的两个模块分别是xToken中的xBNTa合约和xSNXa合约。两个合约分别遭受了“假币”攻击和预言机操控攻击。
一)xBNTa合约攻击分析1.xBNTa合约存在一个mint函数,允许用户使用ETH兑换BNT,使用的是BancorNetowrk进行兑换,并根据BancorNetwork返回的兑换数量进行铸币。2.在mint函数中存在一个path变量,用于在BancorNetwork中进行ETH到BNT的兑换,但是path这个值是用户传入并可以操控的3.攻击者传入一个伪造的path,使xBNTa合约使用攻击者传入的path来进行代币兑换,达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用ETH/BNT交易对进行兑换的限制,进而达到任意铸币的目的。
慢雾:6月24日至28日Web3生态因安全问题损失近1.5亿美元:7月3日消息,慢雾发推称,自6月24日至6月28日,Web3生态因安全问题遭遇攻击损失149,658,500美元,包括Shido、Ichioka Ventures、Blockchain for dog nose wrinkles、Chibi Finance、Biswap、Themis等。[2023/7/3 22:14:33]
二)xSNXa合约攻击分析1.xSNXa合约存在一个mint函数,允许用户使用ETH兑换xSNX,使用的是KyberNetwork的聚合器进行兑换。2.攻击者可以通过闪电贷Uniswap中ETH/SNX交易对的价格进行操控,扰乱SNX/ETH交易对的报价,进而扰乱KyberNetwork的报价。从而影响xSNXa合约的价格获取3.攻击者使用操控后的价格进行铸币,从而达到攻击目的。
慢雾:AToken钱包疑似遭受攻击 用户反馈钱包中资产被盗:据慢雾区情报,近期 AToken 钱包(atoken.com)疑似遭受到攻击,用户在使用 AToken 钱包后,币被偷偷转移走。目前已经有较多的用户反馈钱包中的资产被盗。AToken 钱包官方推特在2021年12月20日发布了停止运营的声明。官方 TG 频道中也有多位用户反馈使用 AToken 钱包资产被盗了,但是并没有得到 AToken 团队的回复和处理。
如果有使用 AToken 钱包的用户请及时转移资产到安全的钱包中。具体可以参考如下操作:
1. 立即将 AToken 钱包中的相关的资产转移到新的钱包中。
2. 废弃导入 AToken 或者使用 AToken 生成的助记词或私钥的钱包。
3. 参考慢雾安全团队梳理的数字资产安全解决方案,对数字资产进行妥善的管理。
4. 留存相应有问题的 AToken 钱包 APP 的安装包,用于后续可能需要的取证等操作。
5. 如果资产已经被盗,可以先梳理被盗事件的时间线,以及黑客的相关地址 MistTrack 可以协助挽回可能的一线希望。[2022/2/9 9:39:46]
总结:本次xToken项目被攻击充分展现了DeFi世界的复杂性,其中针对xSNXa的攻击更是闪电贷操控价格的惯用手法。慢雾安全团队建议DeFi项目开发团队在进行DeFi项目开发的时候要做好参数校验,同时在获取价格的地方需要防止预言机操控攻击,可使用Uniswap和ChainLink的预言机进行价格获取,并经过专业的安全团队进行审计,保护财产安全。
慢雾:BSC链上项目BXH遭受攻击分析:10月30日消息,据慢雾区情报,2021年10月30日,币安智能链上(BSC)去中心化交易协议BXH项目遭受攻击,被盗约1.3亿美金。经慢雾安全团队分析,黑客于27日13时(UTC)部署了攻击合约0x8877,接着在29日08时(UTC)BXH项目管理钱包地址0x5614通过grantRole赋予攻击合约0x8877管理权限。30日03时(UTC)攻击者通过攻击合约0x8877的权限从BXH策略池资金库中将其管理的资产转出。30日04时(UTC)0x5614暂停了资金库。因此BXH本次被盗是由于其管理权限被恶意的修改,导致攻击者利用此权限转移了项目资产。[2021/10/30 6:22:02]
参考链接:官方分析:https://medium.com/xtoken/initial-report-on-xbnta-xsnxa-exploit-d6e784387f8e
标签:TOKEKENTOKENTOKSIL Finance Token V2imToken官方版下载Tower Tokenraiden-network-token
链捕手消息,算法稳定币协议FEI正式执行了FIP-2赎回方案,并开启了赎回操作界面,这允许FEI持有者以0.95美元的价格将FEI兑换成ETH.
1900/1/1 0:00:00据寿司Sushiswap中文站消息,寿司宣布,将于5月17日发布IDO发行平台MISO。目前,MISO提供发行三种代币类型,可根据需求自行选择.
1900/1/1 0:00:00本文来自律动BlockBeats。现在,以太坊的声音越来越大。高盛在其以太坊研报中表示:以太坊生态中高速发展的DeFi以及NFT板块为ETH打开了无限的想象空间.
1900/1/1 0:00:00链捕手消息,NFT服务基础架构平台ProjectGalaxy宣布完成种子轮融资,参投方包括MulticoinCapital、DivegenceVentures、HardYaka、Blockcha.
1900/1/1 0:00:00本文来自中国网财经,原文标题:《HuobiVentures全球品牌发布,一亿美金聚焦区块链行业前沿布局》,作者:赵融。5月13日下午,HuobiVentures全球品牌发布会于上海举行.
1900/1/1 0:00:00大鹏一日乘风起,扶摇直上九万里。许多人没有想到,继DeFi之后,NFT宛如大鹏展翅,在2021年迎来了爆炸性增长.
1900/1/1 0:00:00