比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

KEN:慢霧:xToken 被黑事件分析

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,以太坊DeFi項目xToken遭受攻擊,損失近2500萬美元,慢霧安全團隊介入分析,得出造成本次攻擊的原因如下:

本次被黑的兩個模塊分別是xToken中的xBNTa合約和xSNXa合約。兩個合約分別遭受了“假幣”攻擊和預言機操控攻擊。

一)xBNTa合約攻擊分析1.xBNTa合約存在一個mint函數,允許用戶使用ETH兌換BNT,使用的是BancorNetowrk進行兌換,并根據BancorNetwork返回的兌換數量進行鑄幣。2.在mint函數中存在一個path變量,用于在BancorNetwork中進行ETH到BNT的兌換,但是path這個值是用戶傳入并可以操控的3.攻擊者傳入一個偽造的path,使xBNTa合約使用攻擊者傳入的path來進行代幣兌換,達到使用其他交易對來進行鑄幣的目的。繞過了合約本身必須使用ETH/BNT交易對進行兌換的限制,進而達到任意鑄幣的目的。

慢霧:LendHub疑似被攻擊損失近600萬美金,1100枚ETH已轉移到Tornado Cash:金色財經報道,據慢霧區情報,HECO生態跨鏈借貸平臺LendHub疑似被攻擊,主要黑客獲利地址為0x9d01..ab03。黑客于1月12日從Tornado.Cash接收100ETH后,將部分資金跨鏈到Heco鏈展開攻擊后獲利,后使用多個平臺(如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge)跨鏈或兌換被盜資金。截至目前,黑客已分11筆共轉1,100ETH到Tornado.Cash。被攻擊的具體原因尚待分析,慢霧安全團隊將持續跟進此事件。[2023/1/13 11:10:43]

二)xSNXa合約攻擊分析1.xSNXa合約存在一個mint函數,允許用戶使用ETH兌換xSNX,使用的是KyberNetwork的聚合器進行兌換。2.攻擊者可以通過閃電貸Uniswap中ETH/SNX交易對的價格進行操控,擾亂SNX/ETH交易對的報價,進而擾亂KyberNetwork的報價。從而影響xSNXa合約的價格獲取3.攻擊者使用操控后的價格進行鑄幣,從而達到攻擊目的。

慢霧:AToken錢包疑似遭受攻擊 用戶反饋錢包中資產被盜:據慢霧區情報,近期 AToken 錢包(atoken.com)疑似遭受到攻擊,用戶在使用 AToken 錢包后,幣被偷偷轉移走。目前已經有較多的用戶反饋錢包中的資產被盜。AToken 錢包官方推特在2021年12月20日發布了停止運營的聲明。官方 TG 頻道中也有多位用戶反饋使用 AToken 錢包資產被盜了,但是并沒有得到 AToken 團隊的回復和處理。

如果有使用 AToken 錢包的用戶請及時轉移資產到安全的錢包中。具體可以參考如下操作:

1. 立即將 AToken 錢包中的相關的資產轉移到新的錢包中。

2. 廢棄導入 AToken 或者使用 AToken 生成的助記詞或私鑰的錢包。

3. 參考慢霧安全團隊梳理的數字資產安全解決方案,對數字資產進行妥善的管理。

4. 留存相應有問題的 AToken 錢包 APP 的安裝包,用于后續可能需要的取證等操作。

5. 如果資產已經被盜,可以先梳理被盜事件的時間線,以及黑客的相關地址 MistTrack 可以協助挽回可能的一線希望。[2022/2/9 9:39:46]

總結:本次xToken項目被攻擊充分展現了DeFi世界的復雜性,其中針對xSNXa的攻擊更是閃電貸操控價格的慣用手法。慢霧安全團隊建議DeFi項目開發團隊在進行DeFi項目開發的時候要做好參數校驗,同時在獲取價格的地方需要防止預言機操控攻擊,可使用Uniswap和ChainLink的預言機進行價格獲取,并經過專業的安全團隊進行審計,保護財產安全。

動態 | 慢霧:巨鯨被盜2.6億元資產,或因Blockchain.info安全體系存在缺陷:針對加密巨鯨賬戶(zhoujianfu)被盜價值2.6億元的BTC和BCH,慢霧安全團隊目前得到的推測如下:該大戶私鑰自己可以控制,他在Reddit上發了BTC簽名,已驗證是對的,且猜測是使用了一款很知名的去中心化錢包服務,而且這種去中心化錢包居然還需要SIM卡認證,也就是說有用戶系統,可以開啟基于SIM卡的短信雙因素認證,猜測可能是Blockchain.info,因為它吻合這些特征,且歷史上慢霧安全團隊就收到幾起Blockchain.info用戶被盜幣的威脅情報,Blockchain.info的安全體系做得并不足夠好。目前慢霧正在積極跟進更多細節,包括與該大戶直接聯系以及盡力提供可能需求的幫助。[2020/2/22]

參考鏈接:官方分析:https://medium.com/xtoken/initial-report-on-xbnta-xsnxa-exploit-d6e784387f8e

Tags:KENTOKETOKTOKENROIMA INC TokenegotokenCamelTokenYDB Token

比特幣價格今日行情
區塊鏈:區塊鏈分析公司Chainalysis以42億美元估值完成1億美元E輪融資,Coatue領投

鏈捕手消息,區塊鏈分析公司Chainalysis宣布以42億美元估值完成1億美元E輪融資,CoatueManagement領投,距離上一次融資僅過去三個月.

1900/1/1 0:00:00
DYDX:dYdX 對話 Wintermute:在 DeFi 協議中做市,需要什么樣的策略?

本文發布于鏈聞,整理:dYdX5月4日,我們與來自Wintermute創始人兼首席執行官EvgenyGaevoy和DeFi負責人YuriyMyronovych一起主持了AMASpotlight的.

1900/1/1 0:00:00
NFT:加密貨幣市場在「5·19」遭受重創,NFT 怎么樣?

本文發布于鏈得得,作者:宋宋。上周,加密貨幣價格的暴跌侵蝕了以美元為基礎的NFT的價值,同時提高了它們的買賣成本,這或許對迅速發展的數字資產市場構成了挫折.

1900/1/1 0:00:00
MCD:MCDEX 完成 700 萬美元融資,MCDEX V3 將在 5 月 28 日部署到 Arbitrum 主網

鏈捕手消息,去中心化永續合約交易平臺MCDEX宣布完成由DelphiDigital和AlamedaResearch領投的700萬美元融資,其中包含MCDEX社區跟投的100萬美元額度.

1900/1/1 0:00:00
比特幣:起底加密世界頭號“ 賭徒 ”:MicroStrategy 可轉債策略靠譜嗎?

本文來自加密谷Live,原文標題:《IDEG丨MicroStrategy的可轉債策略:起底加密社區的頭號賭徒》,作者:IDEG.

1900/1/1 0:00:00
ETH:Synthetix 創始人連環推:BSC 和 Solana 給以太坊社區敲響警鐘

本文來源于鏈聞,作者為Synthetix創始人KainWarwick,并經由PerryWang編譯.

1900/1/1 0:00:00
ads