慢霧分析 xToken 被黑：兩個被黑合約分別遭到假幣攻擊和預言機操作攻擊_DAI

鏈聞消息，據慢霧區，針對DeFi項目xToken遭受攻擊損失近2500萬美元一事，慢霧安全團隊分析稱，本次被黑的兩個模塊分別是xToken中的xBNTa合約和xSNXa合約，兩個合約分別遭受了「假幣」攻擊和預言機操控攻擊。具體分析如下：一、xBNTa合約攻擊分析：1.xBNTa合約存在一個mint函數，允許用戶使用ETH兌換BNT，使用的是BancorNetowrk進行兌換，并根據BancorNetwork返回的兌換數量進行鑄幣。2.在mint函數中存在一個path變量，用于在BancorNetwork中進行ETH到BNT的兌換，但是path這個值是用戶傳入并可以操控的3.攻擊者傳入一個偽造的path，使xBNTa合約使用攻擊者傳入的path來進行代幣兌換，達到使用其他交易對來進行鑄幣的目的。繞過了合約本身必須使用ETH/BNT交易對進行兌換的限制，進而達到任意鑄幣的目的。二、xSNXa合約攻擊分析：1.xSNXa合約存在一個mint函數，允許用戶使用ETH兌換xSNX，使用的是KyberNetwork的聚合器進行兌換。2.攻擊者可以通過閃電貸Uniswap中ETH/SNX交易對的價格進行操控，擾亂SNX/ETH交易對的報價，進而擾亂KyberNetwork的報價。從而影響xSNXa合約的價格獲取3.攻擊者使用操控后的價格進行鑄幣，從而達到攻擊目的。

慢霧MistTrack：DeFi項目Pickle Finance pDAI池被盜資金再次發生異動，多次使用Uniswap進行兌換:據慢霧MistTrack監測信息顯示，2020-11-22 攻擊 pickle pDAI池的黑客地址（0x701781...7a4E08）繼1月8日異動后，再次于1月14日發生異動。此前黑客地址轉移了1500萬DAI到五個新地址，現除了地址5（0x64bA3e...fF62DB），其余四個地址均發生異動，其中地址1（0x607d65...04e461）和地址2（0x17d4fe...2b7a39）分別向另一個地址3（0x157b0f...862a01）轉入400萬DAI。除此之外，慢霧MistTrack監測到1月9日、11日，黑客均向地址3（0x157b0f...862a01）分別轉入176萬DAI、300萬DAI，緊接著地址3（0x157b0f...862a01）于當天通過Uniswap、1inch將一部分DAI兌換成CORN或COMP，另一部分DAI轉到地址1（0x607d65...04e461）、地址2（0x17d4fe...2b7a39）。

目前地址1（0x607d65...04e461）有1億9千萬cDAI，地址2（0x17d4fe...2b7a39）有4億3千萬cDAI，地址3（0x157b0f...862a01）有32萬DAI，地址5（0x64bA3e...fF62DB）有400萬 DAI。[2021/1/15 16:15:10]

聲音 | 慢霧科技余弦：公鏈需應對未來可能的新型51%攻擊挑戰:安全公司慢霧科技創始人余弦今日表示，我和團隊的感覺是，Vitalik 的分享有偷換概念，創造名詞嫌疑。PoW、PoS 各有優劣，也各有自己獨特的 51% 攻擊及治理方式，51% 已經是一個廣義概念了，我覺得最長遠的對抗方式是：這條鏈擁有足夠強的全球共識，以應對未來可能出現的新型 51% 攻擊挑戰。其實所有公鏈都有個持續存在的上帝視角級挑戰，一種根本不計經濟成本的攻擊挑戰，那什么樣的攻擊是不計成本的？此前消息，以太坊聯合創始人Vitalik Buterin近日發表題為《越過51%攻擊》的演講，他表示覆巢式51%攻擊成PoW區塊鏈致命威脅，PoS或是唯一出路。[2020/2/22]

聲音 | 慢霧預警：一新私有礦池今日出現算力暴增跡象:慢霧安全團隊對 ETC 51% 攻擊持續監控中發現：一個新私有礦池(0x58b3cabd0c5c777da2c1c4d4f7ecc8afe5674f20)正在迅速獲得更大的總網絡算力份額，這個新私有礦池雖然在 ETC 51% 攻擊之前就已經存在，但在攻擊后，隨著發動 51% 攻擊的私有礦池(0x3ccc8f7415e09bead930dc2b23617bd39ced2c06)的消失，這個新的私有礦池的算力開始逐日增加，今天出現暴增跡象。

出于謹慎目的，慢霧安全團隊建議任何人進行 ETC 交易時必須等待至少 400 個區塊確認（這個值甚至需要更高），相關數字貨幣交易平臺繼續保持警惕狀態。[2019/1/11]

Tags：DAISNXBNTETHHondaisCoinsnx幣值得入手嗎BNTYtogetherbnb游戲解說

歐易交易所app下載