尊敬的XT用戶:
因APL&IMG錢包維護,XT.COM現已暫停APL&IMG充提業務。給您帶來的不便,請您諒解!
慢霧xToken被黑事件分析:兩個合約分別遭受“假幣”攻擊和預言機操控攻擊:據慢霧區消息,以太坊 DeFi 項目 xToken 遭受攻擊,損失近 2500 萬美元,慢霧安全團隊第一時間介入分析,結合官方事后發布的事故分析,我們將以通俗易懂的簡訊形式分享給大家。
本次被黑的兩個模塊分別是 xToken 中的 xBNTa 合約和 xSNXa 合約。兩個合約分別遭受了“假幣”攻擊和預言機操控攻擊。
一)xBNTa 合約攻擊分析
1. xBNTa 合約存在一個 mint 函數,允許用戶使用 ETH 兌換 BNT,使用的是 Bancor Netowrk 進行兌換,并根據 Bancor Network 返回的兌換數量進行鑄幣。
2. 在 mint 函數中存在一個 path 變量,用于在 Bancor Network 中進行 ETH 到 BNT 的兌換,但是 path 這個值是用戶傳入并可以操控的
3. 攻擊者傳入一個偽造的 path,使 xBNTa 合約使用攻擊者傳入的 path 來進行代幣兌換,達到使用其他交易對來進行鑄幣的目的。繞過了合約本身必須使用 ETH/BNT 交易對進行兌換的限制,進而達到任意鑄幣的目的。
二)xSNXa 合約攻擊分析
1. xSNXa 合約存在一個 mint 函數,允許用戶使用 ETH 兌換 xSNX,使用的是 Kyber Network 的聚合器進行兌換。
2. 攻擊者可以通過閃電貸 Uniswap 中 ETH/SNX 交易對的價格進行操控,擾亂 SNX/ETH 交易對的報價,進而擾亂 Kyber Network 的報價。從而影響 xSNXa 合約的價格獲取
3. 攻擊者使用操控后的價格進行鑄幣,從而達到攻擊目的。
總結:本次 xToken 項目被攻擊充分展現了 DeFi 世界的復雜性,其中針對 xSNXa 的攻擊更是閃電貸操控價格的慣用手法。慢霧安全團隊建議 DeFi 項目開發團隊在進行 DeFi 項目開發的時候要做好參數校驗,同時在獲取價格的地方需要防止預言機操控攻擊,可使用 Uniswap 和 ChainLink 的預言機進行價格獲取,并經過專業的安全團隊進行審計, 保護財產安全。詳情見官網。[2021/5/13 21:57:48]
感謝您對XT.COM的支持與信任。XT.COM團隊2021年9月2日
日本GMO集團旗下加密貨幣交易所GMO Coin已上線XTZ交易:日本GMO集團旗下加密貨幣交易所GMO Coin已上線XTZ交易。(JP.Cointelegraph)[2020/12/16 15:23:12]
https://www.xt.pub/app?https://www.xt.pub/tradePro/btc_usdt?https://www.xt.pub/margin/btc_usdthttps://www.xt.pub/contract/quanto
Gemini將上線LINK、DAI、OXT、BAT,已開放存幣:由文克萊沃斯兄弟創辦的加密貨幣交易所Gemini宣布,現已開放LINK、DAI、OXT、BAT的存幣,交易服務具體何時開放請等待公告更新。[2020/4/25]
?https://t.me/XTsupport?https://twitter.com/XTexchange?https://www.facebook.com/XT.comexchange/?https://weibo.com/XTEXCHANGE?topnav=1&wvr=6&topsug=1
XT.COM將保留隨時全權酌情因任何理由修改、變更或取消此公告的權利。
理財交流群用戶專享:加息1%作者AAXManager過去15分鐘內已更新尊敬的AAX用戶,為給理財用戶更好的服務和體驗,現在起,加入理財用戶專屬社群可獲得1%定期理財加息福利.
1900/1/1 0:00:008月30日,日本電商平臺樂天宣布進軍NFT領域,NFT平臺RakutenNFT預計將于2022年春季上線運營.
1900/1/1 0:00:00Time:19:00UTC,August30,2021,GOATFinance以Price:0.000512BNB,首次發售去中心化項目代幣GOAT,總計1200000枚.
1900/1/1 0:00:00尊敬的用戶: 活動獎勵已發放,獲得獎勵的用戶在用戶中心?-?賬戶資產?查詢發放記錄。再次恭喜所有獲獎用戶!活動詳情:AOFEX全球首發上線ZKN,三重豪禮狂撒300,000ZKN來襲AOFEX早.
1900/1/1 0:00:00親愛的KCS持有者:? 為了加快KCS的回購銷毀進程,更加順應市場的發展,KCS團隊決定自2021年1月起將季度銷毀調整為月度銷毀.
1900/1/1 0:00:00新加坡金融管理局今天公布“全球CBDC挑戰賽”的15名入圍者。這場比賽旨在開發零售中央銀行數字貨幣解決方案,以改善支付服務并促進金融包容.
1900/1/1 0:00:00