[预言机项目Supra完成超2400万美元融资,Animoca Brands和Coinbase Ventures等参投]9月28日消息,预言机与 VRF 服务提供商 Supra 宣布已完成超 2400 万美元融资,此轮融资参投方包括 Animoca Brands、BCW、Coinbase Ventures、FiveT Fintech(原 Avaloq Ventures)、Galaxy Interactive、Hashed、HashKey、Huobi Ventures、No Limit Holdings、Prosus Ventures、Razer.com、Republic Crypto、Shima Capital、Signum Capital、SMO Capital、Sound Ventures、Sublime Ventures、UOB Venture Management(大华银行)和 Valor Equity Partners。
DeFi预言机Umbrella Network推出ETH/BSC token桥:10月12日消息,DeFi预言机Umbrella Network推出ETH/BSC token跨链桥,允许用户在BSC和Ethereum之间转移UMB Token。[2021/10/12 20:22:18]
慢雾xToken被黑事件分析:两个合约分别遭受“假币”攻击和预言机操控攻击:据慢雾区消息,以太坊 DeFi 项目 xToken 遭受攻击,损失近 2500 万美元,慢雾安全团队第一时间介入分析,结合官方事后发布的事故分析,我们将以通俗易懂的简讯形式分享给大家。
本次被黑的两个模块分别是 xToken 中的 xBNTa 合约和 xSNXa 合约。两个合约分别遭受了“假币”攻击和预言机操控攻击。
一)xBNTa 合约攻击分析
1. xBNTa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 BNT,使用的是 Bancor Netowrk 进行兑换,并根据 Bancor Network 返回的兑换数量进行铸币。
2. 在 mint 函数中存在一个 path 变量,用于在 Bancor Network 中进行 ETH 到 BNT 的兑换,但是 path 这个值是用户传入并可以操控的
3. 攻击者传入一个伪造的 path,使 xBNTa 合约使用攻击者传入的 path 来进行代币兑换,达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用 ETH/BNT 交易对进行兑换的限制,进而达到任意铸币的目的。
二)xSNXa 合约攻击分析
1. xSNXa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 xSNX,使用的是 Kyber Network 的聚合器进行兑换。
2. 攻击者可以通过闪电贷 Uniswap 中 ETH/SNX 交易对的价格进行操控,扰乱 SNX/ETH 交易对的报价,进而扰乱 Kyber Network 的报价。从而影响 xSNXa 合约的价格获取
3. 攻击者使用操控后的价格进行铸币,从而达到攻击目的。
总结:本次 xToken 项目被攻击充分展现了 DeFi 世界的复杂性,其中针对 xSNXa 的攻击更是闪电贷操控价格的惯用手法。慢雾安全团队建议 DeFi 项目开发团队在进行 DeFi 项目开发的时候要做好参数校验,同时在获取价格的地方需要防止预言机操控攻击,可使用 Uniswap 和 ChainLink 的预言机进行价格获取,并经过专业的安全团队进行审计, 保护财产安全。详情见官网。[2021/5/13 21:57:48]
预言机项目Umbrella Network与YOP Finance达成合作:据官方Medium文章消息,预言机项目Umbrella Network宣布与收益优化平台YOP Finance(YOP)建立合作关系,Umbrella将为YOP的DeFi产品套件提供Umbrella的社区拥有oracle解决方案。[2021/2/3 18:49:43]
郑重声明: 预言机项目Supra完成超2400万美元融资,Animoca Brands和Coinbase Ventures等参投版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。