買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > FIL幣 > Info

XSN:慢霧:xToken 被黑事件分析_bnt幣最新消息

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,以太坊DeFi項目xToken遭受攻擊,損失近2500萬美元,慢霧安全團隊介入分析,得出造成本次攻擊的原因如下:

本次被黑的兩個模塊分別是xToken中的xBNTa合約和xSNXa合約。兩個合約分別遭受了“假幣”攻擊和預言機操控攻擊。

一)xBNTa合約攻擊分析1.xBNTa合約存在一個mint函數,允許用戶使用ETH兌換BNT,使用的是BancorNetowrk進行兌換,并根據BancorNetwork返回的兌換數量進行鑄幣。2.在mint函數中存在一個path變量,用于在BancorNetwork中進行ETH到BNT的兌換,但是path這個值是用戶傳入并可以操控的3.攻擊者傳入一個偽造的path,使xBNTa合約使用攻擊者傳入的path來進行代幣兌換,達到使用其他交易對來進行鑄幣的目的。繞過了合約本身必須使用ETH/BNT交易對進行兌換的限制,進而達到任意鑄幣的目的。

慢霧:蘋果發布可導致任意代碼執行的嚴重漏洞提醒,請及時更新:7月11日消息,慢霧首席信息安全官23pds發推稱,近日蘋果發布嚴重漏洞提醒,官方稱漏洞CVE-2023-37450可以在用戶訪問惡意網頁時導致在你的設備上任意代碼執行,據信這個已經存在被利用的情況,任意代碼危害嚴重,請及時更新。[2023/7/11 10:47:05]

二)xSNXa合約攻擊分析1.xSNXa合約存在一個mint函數,允許用戶使用ETH兌換xSNX,使用的是KyberNetwork的聚合器進行兌換。2.攻擊者可以通過閃電貸Uniswap中ETH/SNX交易對的價格進行操控,擾亂SNX/ETH交易對的報價,進而擾亂KyberNetwork的報價。從而影響xSNXa合約的價格獲取3.攻擊者使用操控后的價格進行鑄幣,從而達到攻擊目的。

慢霧:共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息,慢霧首席信息安全官23pds發推表示,針對共享Apple ID導致資產被盜現象,核心問題是應用沒有和設備碼綁定,目前99%的錢包、交易App等都都存在此類問題,沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行,攻擊者在配合其他手法如社工、爆破等獲取的密碼,導致資產被盜。23pds提醒用戶不要使用共享Apple ID等,同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

總結:本次xToken項目被攻擊充分展現了DeFi世界的復雜性,其中針對xSNXa的攻擊更是閃電貸操控價格的慣用手法。慢霧安全團隊建議DeFi項目開發團隊在進行DeFi項目開發的時候要做好參數校驗,同時在獲取價格的地方需要防止預言機操控攻擊,可使用Uniswap和ChainLink的預言機進行價格獲取,并經過專業的安全團隊進行審計,保護財產安全。

慢霧:昨日MEV機器人攻擊者惡意構造無效區塊,建議中繼運營者及時升級:金色財經報道,慢霧分析顯示,昨日MEV機器人被攻擊的問題原因在于即使信標區塊不正確,中繼仍將有效載荷(payload)返回給提議者,導致了提議者在另一個區塊被最終確定之前就能訪問區塊內容。攻擊者利用此問題,惡意構造了無效的區塊,使得該區塊無法被驗證,中繼無法進行廣播(狀態碼為202)從而提前獲得交易內容。mev-boost-relay昨日已緊急發布新版本緩解此問題,建議中繼運營者及時升級中繼。

據此前報道,昨日夾擊MEV機器人的惡意驗證者已被Slash懲罰并踢出驗證者隊列。[2023/4/4 13:43:37]

參考鏈接:官方分析:https://medium.com/xtoken/initial-report-on-xbnta-xsnxa-exploit-d6e784387f8e

Tags:SNXBNTXSNETHsnx幣被巨頭看好bnt幣最新消息OXSNIPERtogetherbnb薇拉能上嗎

FIL幣
STA:數十億資金涌入,對沖基金如何改變加密貨幣格局?_比特幣數字錢包

本文來自巴比特,作者:Glendon。自2020年3月的市場崩潰以來,對沖基金已經涌入加密貨幣的世界,尋找利潤。目前,銀河資本、灰度和Pantera等公司在加密貨幣對沖基金市場上占據了主導地位.

1900/1/1 0:00:00
ETW:頭等倉【公開盡調】深度報告:Kylin Network_PINETWORKDEFI幣

項目概要 KylinNetwork的愿景是成為波卡生態上的數據處理協議,涵蓋預言機、數據交易市場、數據分析等業務。在以太坊生態上,目前還沒有出現同時兼顧預言機和數據交易市場的項目.

1900/1/1 0:00:00
SIS:以太坊擴容解決方案Polygon昨日部分節點出現同步問題,已發布熱修復程序_Basis Cash

鏈捕手消息,以太坊擴容解決方案Polygon聯合創始人兼首席產品官AnuragArjun發布更新表示,5月26日,PolygonPoS網絡上小部分驗證節點和全節點同步不一致.

1900/1/1 0:00:00
虛擬資產:韓國今日將召開虛擬資產交易所相關座談會,20家交易所將參會_ARPA

鏈捕手消息,韓國金融主管部門和業內人士3日透露,金融服務委員會下屬金融信息分析院(FIU)將于今日下午4時在首爾中區銀行聯合會館舉行“虛擬資產交易所申報和注冊指南咨詢(暫稱)”非公開座談會.

1900/1/1 0:00:00
區塊鏈:人民銀行就虛擬貨幣交易炒作問題約談部分銀行和支付機構_USD

鏈捕手消息,中國人民銀行今日發布公告,近日人民銀行有關部門就銀行和支付機構為虛擬貨幣交易炒作提供服務問題.

1900/1/1 0:00:00
NABOX:對話Nabox:多鏈錢包正在成為DeFi的重要基礎設施_DEFI

Nabox是一款Web3.0數字身份DeFi應用錢包,目前已支持6條公鏈,具有管理跨鏈資產、跨鏈聚合交易等功能.

1900/1/1 0:00:00
ads