EOS:慢雾预警：警惕 EOS 账号买卖中通过多签提案回收 EOS 账号风险_EOS

链闻消息，在EOS账号买卖市场中，已知的回收账号的方式是通过在账号卖出前使用该账号发起一笔修改账号权限延时交易，待账号成交后延时交易触发，账号权限被改，达到回收账号的目的。据慢雾区伙伴红石的情报，目前存在一种新型的回收账号攻击。攻击者可事先利用卖出账号发起一笔更改权限的多签提案，并使用卖出账号和攻击者控制的另一个账号同意此提案，由于通过提案与执行提案两个动作可分开执行，此时先不执行提案，等账号卖出后，使用任意账号执行此提案，更改卖出账号权限，即可达到回收账号的目的。慢雾安全团队提醒在EOS账号交易市场中警惕此类账号回收攻击，在进行账号交易时，可先查询对应的交易账号是否存在更改权限的多签提案，如存在此类提案，可拒绝进行账号交易。

慢雾余弦：Stake.com被盗地址仍有资金不断进入:9月4日消息，慢雾创始人余弦在社交媒体上发文表示，Stake.com被盗地址目前仍有资金不断进入，也许是Stake.com的服务没有停止，或者部份玩家仍不知情。[2023/9/4 13:17:05]

慢雾xToken被黑事件分析：两个合约分别遭受“假币”攻击和预言机操控攻击:据慢雾区消息，以太坊 DeFi 项目 xToken 遭受攻击，损失近 2500 万美元，慢雾安全团队第一时间介入分析，结合官方事后发布的事故分析，我们将以通俗易懂的简讯形式分享给大家。

本次被黑的两个模块分别是 xToken 中的 xBNTa 合约和 xSNXa 合约。两个合约分别遭受了“假币”攻击和预言机操控攻击。

一）xBNTa 合约攻击分析

1. xBNTa 合约存在一个 mint 函数，允许用户使用 ETH 兑换 BNT，使用的是 Bancor Netowrk 进行兑换，并根据 Bancor Network 返回的兑换数量进行铸币。

2. 在 mint 函数中存在一个 path 变量，用于在 Bancor Network 中进行 ETH 到 BNT 的兑换，但是 path 这个值是用户传入并可以操控的

3. 攻击者传入一个伪造的 path，使 xBNTa 合约使用攻击者传入的 path 来进行代币兑换，达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用 ETH/BNT 交易对进行兑换的限制，进而达到任意铸币的目的。

二）xSNXa 合约攻击分析

1. xSNXa 合约存在一个 mint 函数，允许用户使用 ETH 兑换 xSNX，使用的是 Kyber Network 的聚合器进行兑换。

2. 攻击者可以通过闪电贷 Uniswap 中 ETH/SNX 交易对的价格进行操控，扰乱 SNX/ETH 交易对的报价，进而扰乱 Kyber Network 的报价。从而影响 xSNXa 合约的价格获取

3. 攻击者使用操控后的价格进行铸币，从而达到攻击目的。

总结：本次 xToken 项目被攻击充分展现了 DeFi 世界的复杂性，其中针对 xSNXa 的攻击更是闪电贷操控价格的惯用手法。慢雾安全团队建议 DeFi 项目开发团队在进行 DeFi 项目开发的时候要做好参数校验，同时在获取价格的地方需要防止预言机操控攻击，可使用 Uniswap 和 ChainLink 的预言机进行价格获取，并经过专业的安全团队进行审计， 保护财产安全。详情见官网。[2021/5/13 21:57:48]

慢雾余弦：解决数据安全问题最优解是构建零信任安全架构:金色财经现场报道，7月5日，由巴比特×算力智库联合主办的《隐私计算：让数据安全有序流动起来》主题会议上，慢雾科技创始人余弦做了主题为《区块链安全建设之道》的演讲。余弦表示，保障数据安全的目标是要实现资产0损失和隐私0泄露，但是人最终会成为所有安全的最大薄弱点，在数据收集、存储、加工、使用、提供、交易、公开等环节都需要加强保障。区块链仅是解决信任问题的一种复杂技术方案，面对安全问题，区块链也自身难保。所以解决数据安全问题，最优的解决方案是构建零信任安全架构，明白各条链路的安全策略。[2020/7/5]

标签：EOSeos币最新利好消息

Filecoin热门资讯