木星链 木星链
Ctrl+D收藏木星链
首页 > 中币 > 正文

BNT:慢雾分析 xToken 被黑:两个被黑合约分别遭到假币攻击和预言机操作攻击

作者:

时间:1900/1/1 0:00:00

链闻消息,据慢雾区,针对DeFi项目xToken遭受攻击损失近2500万美元一事,慢雾安全团队分析称,本次被黑的两个模块分别是xToken中的xBNTa合约和xSNXa合约,两个合约分别遭受了「假币」攻击和预言机操控攻击。具体分析如下:一、xBNTa合约攻击分析:1.xBNTa合约存在一个mint函数,允许用户使用ETH兑换BNT,使用的是BancorNetowrk进行兑换,并根据BancorNetwork返回的兑换数量进行铸币。2.在mint函数中存在一个path变量,用于在BancorNetwork中进行ETH到BNT的兑换,但是path这个值是用户传入并可以操控的3.攻击者传入一个伪造的path,使xBNTa合约使用攻击者传入的path来进行代币兑换,达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用ETH/BNT交易对进行兑换的限制,进而达到任意铸币的目的。二、xSNXa合约攻击分析:1.xSNXa合约存在一个mint函数,允许用户使用ETH兑换xSNX,使用的是KyberNetwork的聚合器进行兑换。2.攻击者可以通过闪电贷Uniswap中ETH/SNX交易对的价格进行操控,扰乱SNX/ETH交易对的报价,进而扰乱KyberNetwork的报价。从而影响xSNXa合约的价格获取3.攻击者使用操控后的价格进行铸币,从而达到攻击目的。

慢雾:警惕Web3钱包WalletConnect钓鱼风险:金色财经报道,慢雾安全团队发现 Web3 钱包上关于 WalletConnect 使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包 App 内置的 DApp Browser + WalletConnect 的场景下。

慢雾发现,部分 Web3 钱包在提供 WalletConnect 支持的时候,没有对 WalletConnect 的交易弹窗要在哪个区域弹出进行限制,因此会在钱包的任意界面弹出签名请求。[2023/4/17 14:08:53]

慢雾创始人发布MetaMask浏览器插件失效解决法方案:2月16日,慢雾创始人在回复社区成员问题时,分享 MetaMask 浏览器插件无法启动解决法方案,在没有备份过助记词/私钥,同时重启插件/电脑均无法解决的情况下,可在电脑本地全局搜索 nkbihfbeogaeaoehlefnkodbefgpgknn,这是 MM 扩展 id,如这个目录下:

C:\\Users\\[User]\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Local Extension Settings

kbihfbeogaeaoehlefnkodbefgpgknn 找到 ldb/log 这些文件,在这些文件里找到如图目标内容。

后用 metamask.github.io/vault-decryptor/解开这段目标内容,Password 就是目标 MetaMask 扩展的密码。

若 MM 的任意扩展页面可以打开,比如:chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/home.html,则用下面的方式也有得到待解密的内容:

chrome.storage.local.get('data', result => {

var vault = http://result.data.KeyringController.vault

console.log(vault)

})[2023/2/16 12:10:14]

慢雾安全提醒:近期有黑客团伙进行钓鱼攻击 目前已经有部分交易平台遭受攻击:据慢雾区伙伴无极实验室消息,近期有黑客团伙利用 Windows10 的 IE11/Edge Legacy 和 MS Teams 结合 ms-officecmd 的远程代码漏洞进行钓鱼攻击,攻击者通过构造恶意的 exploit 的链接发送给交易平台的内部人员,并诱导内部人员点击恶意的链接,从而控制内部人员的电脑,来实施对交易平台的盗币攻击。目前已经有部分交易平台遭受攻击,请自查是否有访问过如下的链接或 IP 地址。

攻击者相关信息:

链接: https://giantblock[.]org,https://financialtimes365[.]com

C&C: plusinfo24[.]com

IP 地址: 162.213.253.56[2022/2/11 9:45:23]

标签:BNTULTSNXCONBNTX币TOPDOG Vault (NFTX)snx币最新消息Smart Content Protocol

中币热门资讯
HTT:XT关于CSPR解锁时间说明的公告(2021/5/13)

尊敬的XT用户:CSPR主网现已上线,参与平台认购用户锁仓资产将于2021年6月29日起每周二15:00按照1/13的方式进行释放,用户可关注账户资产变化。如有问题,请及时联系在线客服.

1900/1/1 0:00:00
比特币:币圈小蝶:怎么炒比特币?炒币详细步骤介绍

?怎么炒比特币?现在很多人都在炒币,炒币圈一直十分火热,而币圈的行情也是飘忽不定,很多人想尝试炒币但都失败了.

1900/1/1 0:00:00
比特币:币圈小白,必须知道的十条准则

这篇文章从头开始,把所有关于数字货币市场的条件做了几条归纳,希望能给想进入市场的小白们一些帮助。如果你刚刚开始关注加密货币,想知道是否要投资,以下是你在购买之前需要知道的10件事.

1900/1/1 0:00:00
比特币:杨添论币:马斯克吃饱砸锅?瀑布之后BTC是否迎来抄底良机?

:不得不说大资本方的一举一动对币圈的影响实在是太大,尤其是马斯克这样的名人,操盘实在太容易。美东时间本周三美股盘后,特斯拉CEO马斯克突然在社交媒体宣布,特斯拉已经叫停用比特币购车,此言一出数字.

1900/1/1 0:00:00
USD:库币上线Origin Dollar (OUSD)!

亲爱的库币用户:我们很高兴的宣布,库币将上线OriginDollar(OUSD)项目并支持交易对OUSD/USDT和OUSD/BTC.

1900/1/1 0:00:00
NFT:NFT 游戏公司 Big Time Studio 完成 2100 万美元融资,FBG 领投

链闻消息,据VentureBeat报道,由前DecentralandCEO创建的BigTimeStudio宣布完成2100万美元融资,融资将分为两部分.

1900/1/1 0:00:00