KEN:慢霧預警：ADX合約設計疑似存在“后門”風險

安全公司慢霧發布安全預警稱，ADX合約設計疑似存在“后門”風險。具體細節為：在合約中grantVestedTokens方法寫了轉賬是否可以允許被revoke，可以在grants這個mapping中或者tokenGrant中查到用戶生成的這個TokenGrant到底允不允許revoke,如果是允許revoke則要慎重，用戶可以通過revokeTokenGrant撤回，這樣holder就會受到損失，代幣可能會回到原本用戶的余額上或者轉到0xdead,這取決于burnsOnRevoke的值。ADX項目業務設計比較特殊，如果在對接交易所的話，沒有說明對接的方式，以及一些特殊方法的調用和判斷，會造成交易所損失，請交易所注意對接時候相關細節處理。

慢霧xToken被黑事件分析：兩個合約分別遭受“假幣”攻擊和預言機操控攻擊:據慢霧區消息，以太坊 DeFi 項目 xToken 遭受攻擊，損失近 2500 萬美元，慢霧安全團隊第一時間介入分析，結合官方事后發布的事故分析，我們將以通俗易懂的簡訊形式分享給大家。

本次被黑的兩個模塊分別是 xToken 中的 xBNTa 合約和 xSNXa 合約。兩個合約分別遭受了“假幣”攻擊和預言機操控攻擊。

一）xBNTa 合約攻擊分析

1. xBNTa 合約存在一個 mint 函數，允許用戶使用 ETH 兌換 BNT，使用的是 Bancor Netowrk 進行兌換，并根據 Bancor Network 返回的兌換數量進行鑄幣。

2. 在 mint 函數中存在一個 path 變量，用于在 Bancor Network 中進行 ETH 到 BNT 的兌換，但是 path 這個值是用戶傳入并可以操控的

3. 攻擊者傳入一個偽造的 path，使 xBNTa 合約使用攻擊者傳入的 path 來進行代幣兌換，達到使用其他交易對來進行鑄幣的目的。繞過了合約本身必須使用 ETH/BNT 交易對進行兌換的限制，進而達到任意鑄幣的目的。

二）xSNXa 合約攻擊分析

1. xSNXa 合約存在一個 mint 函數，允許用戶使用 ETH 兌換 xSNX，使用的是 Kyber Network 的聚合器進行兌換。

2. 攻擊者可以通過閃電貸 Uniswap 中 ETH/SNX 交易對的價格進行操控，擾亂 SNX/ETH 交易對的報價，進而擾亂 Kyber Network 的報價。從而影響 xSNXa 合約的價格獲取

3. 攻擊者使用操控后的價格進行鑄幣，從而達到攻擊目的。

總結：本次 xToken 項目被攻擊充分展現了 DeFi 世界的復雜性，其中針對 xSNXa 的攻擊更是閃電貸操控價格的慣用手法。慢霧安全團隊建議 DeFi 項目開發團隊在進行 DeFi 項目開發的時候要做好參數校驗，同時在獲取價格的地方需要防止預言機操控攻擊，可使用 Uniswap 和 ChainLink 的預言機進行價格獲取，并經過專業的安全團隊進行審計， 保護財產安全。詳情見官網。[2021/5/13 21:57:48]

慢霧科技創始人余弦：安全的預算需要占到全年預算的20%左右:針對最近出現的安全問題，慢霧科技創始人余弦在微博上表示：給加密貨幣行業一個中肯建議：這個行業，自帶金融屬性，無國家安全力量保障，盜幣溯源有很難。安全的預算需要占到全年預算的20%左右，這比例一部分（可能是大部分）是內部安全成本消耗，一部分是給第三方職業安全團隊（如慢霧），一部分是給社區的白帽黑客。另外，做個安全應急準備金，黑天鵝出來后，可以拿來做些彌補及挽救支持的。既然喊了安全第一，既然安全也是區塊鏈三大必備基礎元素之一，那就這樣干，不應該有任何的猶豫和幻想。[2020/4/20]

聲音 | 慢霧：99%以上的勒索病使用BTC進行交易:據慢霧消息，勒索病已經成為全球最大的安全威脅之一，99%以上的勒索病使用BTC進行交易，到目前為止BTC的價格已經漲到了一萬多美元，最近一兩年針對企業的勒索病攻擊也越來越多，根據Malwarebytes統計的數據，全球TO B的勒索病攻擊，從2018年6月以來已經增加了363%，同時BTC的價格也直線上漲，黑客現在看準了數字貨幣市場，主要通過以下幾個方式對數字貨幣進行攻擊：

1.通過勒索病進行攻擊，直接勒索BTC。

2.通過惡意程序，盜取受害者數字貨幣錢包。

3.通過數字貨幣網站漏洞進行攻擊，盜取數字貨幣。[2019/8/25]

Tags：KENSNXTOKTOKENRhino Tokensnx幣有前景嗎JavaScript TokenPenny Token

TRX