SNX:慢雾分析 xToken 被黑：两个被黑合约分别遭到假币攻击和预言机操作攻击_NET

链闻消息，据慢雾区，针对DeFi项目xToken遭受攻击损失近2500万美元一事，慢雾安全团队分析称，本次被黑的两个模块分别是xToken中的xBNTa合约和xSNXa合约，两个合约分别遭受了「假币」攻击和预言机操控攻击。具体分析如下：一、xBNTa合约攻击分析：1.xBNTa合约存在一个mint函数，允许用户使用ETH兑换BNT，使用的是BancorNetowrk进行兑换，并根据BancorNetwork返回的兑换数量进行铸币。2.在mint函数中存在一个path变量，用于在BancorNetwork中进行ETH到BNT的兑换，但是path这个值是用户传入并可以操控的3.攻击者传入一个伪造的path，使xBNTa合约使用攻击者传入的path来进行代币兑换，达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用ETH/BNT交易对进行兑换的限制，进而达到任意铸币的目的。二、xSNXa合约攻击分析：1.xSNXa合约存在一个mint函数，允许用户使用ETH兑换xSNX，使用的是KyberNetwork的聚合器进行兑换。2.攻击者可以通过闪电贷Uniswap中ETH/SNX交易对的价格进行操控，扰乱SNX/ETH交易对的报价，进而扰乱KyberNetwork的报价。从而影响xSNXa合约的价格获取3.攻击者使用操控后的价格进行铸币，从而达到攻击目的。

慢雾余弦：超10万推特账号对应的friend.tech钱包地址泄露:金色财经报道，Yearn核心开发者banteg在社交媒体上表示，泄露的数据库显示，101,183人授予friend.tech访问权限，以他们的身份发布信息。

对此慢雾创始人余弦转发称，10多万推特账号对应的friend.tech钱包地址泄露。这些钱包地址随便往上一层做下关联，还能得到更多隐私。[2023/8/21 18:13:48]

声音 | 慢雾预警：ETC可能发生51%攻击:据慢雾区消息，Ethereum Classic（ETC） 疑似发生51%攻击，有不少区块发生回滚；但是Ethereum Classic官方说没什么问题。出于谨慎的态度，请相关交易所和个人注意关注，及时避险。[2019/1/7]

动态 | 慢雾区：多个 EOS 游戏合约遭受攻击:据慢雾区：多个 EOS 游戏合约遭受攻击，请广大用户注意风险，保障资产安全。[2018/9/14]

标签：BNTSNXETHNETVBNT币ASNX币ethnoEMOGI Network

比特币热门资讯