[慢雾xToken被黑事件分析:两个合约分别遭受“假币”攻击和预言机操控攻击]据慢雾区消息,以太坊 DeFi 项目 xToken 遭受攻击,损失近 2500 万美元,慢雾安全团队第一时间介入分析,结合官方事后发布的事故分析,我们将以通俗易懂的简讯形式分享给大家。
本次被黑的两个模块分别是 xToken 中的 xBNTa 合约和 xSNXa 合约。两个合约分别遭受了“假币”攻击和预言机操控攻击。
一)xBNTa 合约攻击分析
1. xBNTa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 BNT,使用的是 Bancor Netowrk 进行兑换,并根据 Bancor Network 返回的兑换数量进行铸币。
2. 在 mint 函数中存在一个 path 变量,用于在 Bancor Network 中进行 ETH 到 BNT 的兑换,但是 path 这个值是用户传入并可以操控的
3. 攻击者传入一个伪造的 path,使 xBNTa 合约使用攻击者传入的 path 来进行代币兑换,达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用 ETH/BNT 交易对进行兑换的限制,进而达到任意铸币的目的。
二)xSNXa 合约攻击分析
1. xSNXa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 xSNX,使用的是 Kyber Network 的聚合器进行兑换。
2. 攻击者可以通过闪电贷 Uniswap 中 ETH/SNX 交易对的价格进行操控,扰乱 SNX/ETH 交易对的报价,进而扰乱 Kyber Network 的报价。从而影响 xSNXa 合约的价格获取
3. 攻击者使用操控后的价格进行铸币,从而达到攻击目的。
总结:本次 xToken 项目被攻击充分展现了 DeFi 世界的复杂性,其中针对 xSNXa 的攻击更是闪电贷操控价格的惯用手法。慢雾安全团队建议 DeFi 项目开发团队在进行 DeFi 项目开发的时候要做好参数校验,同时在获取价格的地方需要防止预言机操控攻击,可使用 Uniswap 和 ChainLink 的预言机进行价格获取,并经过专业的安全团队进行审计, 保护财产安全。详情见官网。
上市矿企Argo在美国OTCQX Best Market开启交易:英国上市公司Argo Blockchain PLC(LON:ARB) (OTCQX:ARBKF)表示,其股票从OTCQB Venture Market升级后,将于今天在美国OTCQX Best Market开始交易。该公司表示,OTCQX是场外交易市场的最高级别,代表着一个“重要里程碑”。(Proactive Investors)[2021/2/24 17:48:06]
前美国OCC代理署长:加密货币、DeFi和稳定币都将成为必要:1月19日,前美国货币监理署代理署长Brian Brooks发推阐述其认为加密货币、稳定币和DeFi是重要创新,以及美国监管未来走向的相关观点。他表示,成功将来自于颠覆性的想法,这些想法可能在今天是可怕的,但在明天却是可以期待的,甚至是必要的。他具体解释称:加密货币在今天对一些人而言是可怕的,但随着M1货币供应量持续走高,这会变成必要的;DeFi在今天对一些人而言是可怕的,但在明天就会成为必要的,因为一些银行开始告诉你,你可以用自己的钱做什么,不能做什么。稳定币在今天对一些人而言是可怕的,但如果我们想让美元继续成为一种有竞争力的全球交易媒介,那么明天就必须这么做。此前消息,美国OCC代理署长已于1月15日离任。[2021/1/20 16:35:22]
观点:美国OCC代理署长抨击SWIFT对Ripple和XRP有显著影响:美国货币监理署(OCC)代理署长Brian Brooks最近在接受CNN记者Julia Chatterley采访时将全球支付网络SWIFT称为“世界上名字最讽刺的组织之一”。Brooks进一步指出,英国美国、中国、新加坡和其他国家已经采用了实时支付,但美国落后了。Ripple前首席营销策略师Cory Johnson表示,美国国家银行代理监管机构对SWIFT的严厉批评,对Ripple和XRP有着“明显的影响”。其认为,过去几年,Ripple通过提供即时跨境支付业务,逐渐成为SWIFT的主要挑战者。(U.Today)[2020/8/19]
郑重声明: 慢雾xToken被黑事件分析:两个合约分别遭受“假币”攻击和预言机操控攻击版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。