慢霧分析 xToken 被黑：兩個被黑合約分別遭到假幣攻擊和預言機操作攻擊_SNX

鏈聞消息，據慢霧區，針對DeFi項目xToken遭受攻擊損失近2500萬美元一事，慢霧安全團隊分析稱，本次被黑的兩個模塊分別是xToken中的xBNTa合約和xSNXa合約，兩個合約分別遭受了「假幣」攻擊和預言機操控攻擊。具體分析如下：一、xBNTa合約攻擊分析：1.xBNTa合約存在一個mint函數，允許用戶使用ETH兌換BNT，使用的是BancorNetowrk進行兌換，并根據BancorNetwork返回的兌換數量進行鑄幣。2.在mint函數中存在一個path變量，用于在BancorNetwork中進行ETH到BNT的兌換，但是path這個值是用戶傳入并可以操控的3.攻擊者傳入一個偽造的path，使xBNTa合約使用攻擊者傳入的path來進行代幣兌換，達到使用其他交易對來進行鑄幣的目的。繞過了合約本身必須使用ETH/BNT交易對進行兌換的限制，進而達到任意鑄幣的目的。二、xSNXa合約攻擊分析：1.xSNXa合約存在一個mint函數，允許用戶使用ETH兌換xSNX，使用的是KyberNetwork的聚合器進行兌換。2.攻擊者可以通過閃電貸Uniswap中ETH/SNX交易對的價格進行操控，擾亂SNX/ETH交易對的報價，進而擾亂KyberNetwork的報價。從而影響xSNXa合約的價格獲取3.攻擊者使用操控后的價格進行鑄幣，從而達到攻擊目的。

慢霧：6月24日至28日Web3生態因安全問題損失近1.5億美元:7月3日消息，慢霧發推稱，自6月24日至6月28日，Web3生態因安全問題遭遇攻擊損失149,658,500美元，包括Shido、Ichioka Ventures、Blockchain for dog nose wrinkles、Chibi Finance、Biswap、Themis等。[2023/7/3 22:14:33]

慢霧安全：Quiuixotic 出現嚴重漏洞，請相關用戶盡快取消授權:據慢霧安全團隊情報，2022年7月1日，Optimism生態最大NFT平臺Quiuixotic出現嚴重漏洞，大量用戶資產被盜，請在該市場上進行過交易的用戶盡快取消授權。

在市場合約的fillSell Order函數中僅對賣單進行了檢查，并未對buyer的買單做檢查。故攻擊者首先創建了任意的NFT合約，調用fillSellOrder函數生成賣單，將buyer參數傳為受害者地址、payment ERC20參數傳為需要盜取的代幣地址，即可將對該市場合約有授權的用戶的代幣轉走獲利。[2022/7/1 1:44:30]

慢霧：攻擊Ronin Network的黑客地址向火幣轉入3750枚 ETH:3月30日消息，慢霧發推稱，攻擊Axie Infinity側鏈Ronin Network的黑客地址向交易所火幣轉入3750枚ETH。此前金色財經報道，Ronin橋被攻擊，17.36萬枚ETH和2550萬USDC被盜。[2022/3/30 14:26:38]

Tags：ETHSNXNETBNTBETH價格SNX價格Gym Networkbnt幣能漲到100元嗎

ETH