宇宙链 宇宙链
Ctrl+D收藏宇宙链

慢雾:xToken 被黑事件分析

作者:

时间:1900/1/1 0:00:00

链捕手消息,以太坊DeFi项目xToken遭受攻击,损失近2500万美元,慢雾安全团队介入分析,得出造成本次攻击的原因如下:

本次被黑的两个模块分别是xToken中的xBNTa合约和xSNXa合约。两个合约分别遭受了“假币”攻击和预言机操控攻击。

一)xBNTa合约攻击分析1.xBNTa合约存在一个mint函数,允许用户使用ETH兑换BNT,使用的是BancorNetowrk进行兑换,并根据BancorNetwork返回的兑换数量进行铸币。2.在mint函数中存在一个path变量,用于在BancorNetwork中进行ETH到BNT的兑换,但是path这个值是用户传入并可以操控的3.攻击者传入一个伪造的path,使xBNTa合约使用攻击者传入的path来进行代币兑换,达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用ETH/BNT交易对进行兑换的限制,进而达到任意铸币的目的。

慢雾:仍有大部分钱包支持eth_sign,仅少部分钱包提供安全风险警告:金色财经报道,在加密货币NFT板块,越来越多的钓鱼网站滥用 eth_sign 签名功能来进行盲签欺诈,提醒或禁用这种低级的签名方法对于保护用户安全是至关重要的,不少 Web3 钱包已经采取相关措施来对这种危险的签名方法进行安全提示和限制。仍有一大部分加密钱包支持 eth_sign,其中少部分钱包提供 eth_sign 安全风险警告。如果用户仍想要使用 eth_sign,他们可以选择支持该功能的加密钱包。但是,用户在使用这些钱包时需要特别注意安全警告,以确保其交易的安全性。[2023/5/11 14:57:14]

二)xSNXa合约攻击分析1.xSNXa合约存在一个mint函数,允许用户使用ETH兑换xSNX,使用的是KyberNetwork的聚合器进行兑换。2.攻击者可以通过闪电贷Uniswap中ETH/SNX交易对的价格进行操控,扰乱SNX/ETH交易对的报价,进而扰乱KyberNetwork的报价。从而影响xSNXa合约的价格获取3.攻击者使用操控后的价格进行铸币,从而达到攻击目的。

慢雾:Rubic协议错将USDC添至Router白名单,导致已授权合约用户USDC遭窃取:12月25日消息,据慢雾安全团队情报,Rubic跨链聚合器项目遭到攻击,导致用户账户中的USDC被窃取。慢雾安全团队分享如下:1. Rubic是一个DEX跨链聚合器,用户可以通过RubicProxy合约中的routerCallNative函数进行Native Token兑换。在进行兑换前,会先检查用户传入的所需调用的目标 Router是否在协议的白名单中。

2. 经过白名单检查后才会对用户传入的目标Router进行调用,调用数据也由用户外部传入。

3. 不幸的是USDC也被添加到Rubic协议的Router白名单中,因此任意用户都可以通过RubicProxy合约任意调用USDC。

4. 恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。

此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中,导致已授权给RubicProxy合约的用户的USDC被窃取。[2022/12/26 22:07:00]

总结:本次xToken项目被攻击充分展现了DeFi世界的复杂性,其中针对xSNXa的攻击更是闪电贷操控价格的惯用手法。慢雾安全团队建议DeFi项目开发团队在进行DeFi项目开发的时候要做好参数校验,同时在获取价格的地方需要防止预言机操控攻击,可使用Uniswap和ChainLink的预言机进行价格获取,并经过专业的安全团队进行审计,保护财产安全。

慢雾:警惕 Honeyswap 前端被篡改导致 approvals 到恶意地址风险:据慢雾区消息,Honeyswap官方推特发文,Honeyswap 前端错误导致交易到恶意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ,目前官网仍未删除该恶意地址,请立即停止使用Honeyswap进行交易,到revoke.cash排查是否有approvals 交易到恶意地址,避免不必要的损失。[2022/5/10 3:03:22]

参考链接:官方分析:https://medium.com/xtoken/initial-report-on-xbnta-xsnxa-exploit-d6e784387f8e

标签:ETHRUBUSDBICETHBN价格RUBY价格CUSDT币BICR价格

比特币交易所热门资讯
狂热的 NFT 有哪些应用场景?如何用技术实现它?

本文来自加密谷Live,原文标题:《热点丨NFT为什么占领了硅谷?》,作者:MatheusLeal,翻译:Jeremy。在过去的几周里,你可能已经想象到了这些数字图像高价值背后的原因。NFT是独特的实体,不能被其他东西替代.

1900/1/1 0:00:00
流动性市场协议BENQI获600万美元战略融资,Ascensive Assets领投

链捕手消息,据官方Medium,基于Avalanche的去中心化非托管流动性市场协议BENQI完成600万美元战略融资,AscensiveAssets领投.

1900/1/1 0:00:00
去中心化虚拟游戏元世界 X World Games 完成 120 万美元战略轮融资

链捕手消息,去中心化虚拟游戏元世界XWorldGames宣布完成120万美元战略轮融资,参投的机构包括NGC、FBGCapital、LonglingCapital、SNZ、MoonwhaleVentures、BTXCapital、Ki.

1900/1/1 0:00:00
美债收益率上升,加密货币市场会受影响吗?

本文发布于吴说区块链,作者:刘全凯。年初至今,据CoinMarketCap数据显示,BTC涨幅仍接近100%。但持有比特币的十大上市公司股票价格表现欠佳,或受美国10年期国债收益率上升所致,而这释放出危险信号.

1900/1/1 0:00:00
我们能把它 DAO 了:去中心化自治组织的潮流如何改变风险投资领域?

撰文:AdrianaHamacher,翻译:DAOchurch 概要 得益于NFT的蓬勃发展和新法律的利好,DAO正准备成为主流。人们对前景充满热情,尤其是风险投资DAO.

1900/1/1 0:00:00
区块链基础设施服务商InfStones加入币安智能链

链捕手消息,InfStones在其官方公众号宣布加入币安智能链。InfStones将深度参与币安智能链的网络建设,并为其提供企业级的基础设施服务.

1900/1/1 0:00:00