2021-05-13 12:58:27
据慢雾区消息,以太坊DeFi项目xToken遭受攻击,损失近2500万美元,慢雾安全团队分析如下。 本次被黑的两个模块分别是xToken中的xBNTa合约和xSNXa合约。两个合约分别遭受了“假币”攻击和预言机操控攻击。 一)xBNTa合约攻击分析 1.xBNTa合约存在一个mint函数,允许用户使用ETH兑换BNT,使用的是BancorNetowrk进行兑换,并根据BancorNetwork返回的兑换数量进行铸币。 2.在mint函数中存在一个path变量,用于在BancorNetwork中进行ETH到BNT的兑换,但是path这个值是用户传入并可以操控的 3.攻击者传入一个伪造的path,使xBNTa合约使用攻击者传入的path来进行代币兑换,达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用ETH/BNT交易对进行兑换的限制,进而达到任意铸币的目的。 二)xSNXa合约攻击分析 1.xSNXa合约存在一个mint函数,允许用户使用ETH兑换xSNX,使用的是KyberNetwork的聚合器进行兑换。 2.攻击者可以通过闪电贷Uniswap中ETH/SNX交易对的价格进行操控,扰乱SNX/ETH交易对的报价,进而扰乱KyberNetwork的报价。从而影响xSNXa合约的价格获取 3.攻击者使用操控后的价格进行铸币,从而达到攻击目的。。
金色财经 小林兄S 11-05 16:53
区块链头条 11-05 16:16
Odaily 11-05 15:36
片面 Crypto 11-05 15:33
探索猫 11-05 14:35
白话区块链 11-05 14:29
白泽研究院 11-05 13:22
区块链骑士 11-05 12:07
Block unicorn 11-05 12:00
深潮TechFlow 11-05 11:57