火星链 火星链
Ctrl+D收藏火星链
首页 > FIL币 > 正文

SNX:慢雾分析 xToken 被黑:两个被黑合约分别遭到假币攻击和预言机操作攻击

作者:

时间:1900/1/1 0:00:00

链闻消息,据慢雾区,针对DeFi项目xToken遭受攻击损失近2500万美元一事,慢雾安全团队分析称,本次被黑的两个模块分别是xToken中的xBNTa合约和xSNXa合约,两个合约分别遭受了「假币」攻击和预言机操控攻击。具体分析如下:一、xBNTa合约攻击分析:1.xBNTa合约存在一个mint函数,允许用户使用ETH兑换BNT,使用的是BancorNetowrk进行兑换,并根据BancorNetwork返回的兑换数量进行铸币。2.在mint函数中存在一个path变量,用于在BancorNetwork中进行ETH到BNT的兑换,但是path这个值是用户传入并可以操控的3.攻击者传入一个伪造的path,使xBNTa合约使用攻击者传入的path来进行代币兑换,达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用ETH/BNT交易对进行兑换的限制,进而达到任意铸币的目的。二、xSNXa合约攻击分析:1.xSNXa合约存在一个mint函数,允许用户使用ETH兑换xSNX,使用的是KyberNetwork的聚合器进行兑换。2.攻击者可以通过闪电贷Uniswap中ETH/SNX交易对的价格进行操控,扰乱SNX/ETH交易对的报价,进而扰乱KyberNetwork的报价。从而影响xSNXa合约的价格获取3.攻击者使用操控后的价格进行铸币,从而达到攻击目的。

慢雾:Ribbon Finance遭遇DNS攻击,某用户损失16.5 WBTC:6月24日消息,Ribbon Finance 发推表示遭遇 DNS 攻击,慢雾MistTrack通过链上分析发现攻击者与今天早前的Convex Finance 攻击者是同一个,地址 0xb73261481064f717a63e6f295d917c28385af9aa 是攻击者共用的用来调用恶意合约的钱包地址。同时分析发现,Ribbon Finance某用户在攻击中损失了 16.5 WBTC,具体交易为:https://etherscan.io/tx/0xd09057f1fdb3fa97d0ed7e8ebd8fd31dd9a0b5b61a29a22b46985d6217510850。[2022/6/24 1:29:35]

慢雾:攻击者系通过“supply()”函数重入Lendf.Me合约 实现重入攻击:慢雾安全团队发文跟进“DeFi平台Lendf.Me被黑”一事的具体原因及防御建议。文章分析称,通过将交易放在bloxy.info上查看完整交易流程,可发现攻击者对Lendf.Me进行了两次“supply()”函数的调用,但是这两次调用都是独立的,并不是在前一笔“supply()”函数中再次调用“supply()”函数。紧接着,在第二次“supply()”函数的调用过程中,攻击者在他自己的合约中对Lendf.Me的“withdraw()”函数发起调用,最终提现。慢雾安全团队表示,不难分析出,攻击者的“withdraw()”调用是发生在transferFrom函数中,也就是在Lendf.Me通过transferFrom调用用户的“tokensToSend()”钩子函数的时候调用的。很明显,攻击者通过“supply()”函数重入了Lendf.Me合约,造成了重入攻击。[2020/4/19]

动态 | 慢雾预警:高清视频会议系统Zoom存在高危漏洞:据慢雾区消息,知名高清视频会议系统 Zoom 被披露出现高危漏洞。该漏洞利用过程及漏洞概念验证代码(PoC),攻击者可以在同网段或远程,通过构造恶意 UDP 数据包,针对使用 Zoom 桌面版本(包括 MacOS、Linux、Windows)的用户进行远程控制等攻击。慢雾安全团队注意到数字货币相关项目方流行使用 Zoom 来进行远程视频会议,Zoom 官方已经发布新版本修复了这个漏洞,请注意及时更新。[2018/12/3]

标签:BNTETHENDSNXCBNTethbox TokenTokenDesksnx币值得入手吗

FIL币热门资讯
KABOSU:【重磅】异火网上线 KABOSU(女柴犬),注册交易领空投!

毫无疑问,「动物园」系列币种目前已占领了近期市场舆论的中心。短短数月时间内,以狗狗币为代表的Meme币种已成为加密社区多元文化的一部分.

1900/1/1 0:00:00
ETA:牛尾垃圾币横行?64% 调查者认为与 2017 非常相似

吴说作者|谈叔本期编辑|ColinWu牛市早期,新发的币往往还会进行一番包装,而到了后期,发币者往往懒于包装,直接为了发币而发币。而投资种种匪夷所思的垃圾项目往往可以获得更大的收益.

1900/1/1 0:00:00
BCH:库币合约系统升级停机60分钟的公告 - 0514

尊敬的库币合约用户:为提升库币合约系统性能,库币合约将于2021年5月14日14:00(UTC8)进行系统升级.

1900/1/1 0:00:00
比特币:解读比特矿业2021Q1财报 本季利润主要依赖收购企业

编者按:比特矿业选择加密货币这条赛道,目前仍是充满太多不确定性。5月10日,比特矿业,发布了其更名后的首份财报.

1900/1/1 0:00:00
BOO:Facebook禁止在德国处理WhatsApp用户数据

德国一家数据监管机构已禁止Facebook处理该国WhatsApp用户的个人数据,称该应用程序有争议的新隐私政策更新是非法的.

1900/1/1 0:00:00
PRO:CCR炒币机器人:炒币该如何保持好的心态呢?

炒币究竟该如何保持好的心态呢?可以从下面几点说起:控制情绪很多人最大的悲哀,是迷茫地走在路上,看不到前面的希望;最坏的习惯,是苟安于当下的小利,不知道真正投资的方向.

1900/1/1 0:00:00