以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

慢霧分析 xToken 被黑:兩個被黑合約分別遭到假幣攻擊和預言機操作攻擊_ACO:KODACHI幣

Author:

Time:1900/1/1 0:00:00

鏈聞消息,據慢霧區,針對DeFi項目xToken遭受攻擊損失近2500萬美元一事,慢霧安全團隊分析稱,本次被黑的兩個模塊分別是xToken中的xBNTa合約和xSNXa合約,兩個合約分別遭受了「假幣」攻擊和預言機操控攻擊。具體分析如下:一、xBNTa合約攻擊分析:1.xBNTa合約存在一個mint函數,允許用戶使用ETH兌換BNT,使用的是BancorNetowrk進行兌換,并根據BancorNetwork返回的兌換數量進行鑄幣。2.在mint函數中存在一個path變量,用于在BancorNetwork中進行ETH到BNT的兌換,但是path這個值是用戶傳入并可以操控的3.攻擊者傳入一個偽造的path,使xBNTa合約使用攻擊者傳入的path來進行代幣兌換,達到使用其他交易對來進行鑄幣的目的。繞過了合約本身必須使用ETH/BNT交易對進行兌換的限制,進而達到任意鑄幣的目的。二、xSNXa合約攻擊分析:1.xSNXa合約存在一個mint函數,允許用戶使用ETH兌換xSNX,使用的是KyberNetwork的聚合器進行兌換。2.攻擊者可以通過閃電貸Uniswap中ETH/SNX交易對的價格進行操控,擾亂SNX/ETH交易對的報價,進而擾亂KyberNetwork的報價。從而影響xSNXa合約的價格獲取3.攻擊者使用操控后的價格進行鑄幣,從而達到攻擊目的。

慢霧安全預警:Nacos出現遠程代碼執行漏洞攻擊案例,請相關方及時升級:金色財經報道,據慢霧區消息,Nacos 出現遠程代碼執行漏洞攻擊案例。Nacos 是 Alibaba 開源的一個更易于構建云原生應用的動態服務發現、配置管理和服務管理平臺,幫助用戶快速實現動態服務發現、服務配置、服務元數據及流量管理。Nacos 在處理某些基于 Jraft 的請求時,采用 Hessian 進行反序列化,但并未設置限制,導致應用存在遠程代碼執行(RCE)漏洞。其中,1.4.1 <= Nacos < 1.4.6,使用 cluster 集群模式運行受影響;1.4.0、2.0.0 <= Nacos < 2.2.3,任意模式啟動均受到影響。加密貨幣行業有大量平臺采用此方案,請注意風險,并將 Nacos 升級到官方最新新版本。[2023/6/9 21:25:29]

慢霧:攻擊Ronin Network的黑客地址向火幣轉入3750枚 ETH:3月30日消息,慢霧發推稱,攻擊Axie Infinity側鏈Ronin Network的黑客地址向交易所火幣轉入3750枚ETH。此前金色財經報道,Ronin橋被攻擊,17.36萬枚ETH和2550萬USDC被盜。[2022/3/30 14:26:38]

慢霧:警惕高危Apache Log4j2遠程代碼執行漏洞:據慢霧安全情報,在12月9日晚間出現了Apache Log4j2 遠程代碼執行漏洞攻擊代碼。該漏洞利用無需特殊配置,經多方驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架,建議廣大交易所、錢包、DeFi項目方抓緊自查是否受漏洞影響,并盡快升級新版本。[2021/12/10 7:30:00]

Tags:ETHACHACOBNTeth學校KODACHI幣KOACOMBATbnt幣前景

火幣交易所
老崔說幣:無力回天,比特幣何時能夠止血?_BCH:888幣值多少錢

大家好,我是來自CKcoin平臺首席分析師老崔說幣,也是你們的朋友老崔說幣lcsb18888,老崔說幣公眾號同步專注數字貨幣行情分析,爭取為廣大幣友傳遞最有價值的幣市信息.

1900/1/1 0:00:00
開放性網絡平臺 NEAR Protocol 宣布 EVM 方案 Aurora 正式上線_AUR:Aurora DAO

鏈聞消息,開放性網絡平臺NEARProtocol宣布EVM方案Aurora正式上線,可以為尋求拓展自己以太坊DApp應用以觸達其他市場的開發者來提供了一套整體解決方案.

1900/1/1 0:00:00
5.13比特幣行情:馬斯克的“背叛”特斯拉暫停接受比特幣支付_比特幣價格:BLOCK

比特幣5月13日最新消息,特斯拉首席執行官埃隆·馬斯克發推特表示,出于對環境的擔憂,該公司將“暫停接受比特幣購買其車輛”。消息經傳出,比特幣價格應聲下跌約5%.

1900/1/1 0:00:00
老李解幣:5.13日BTC斬獲1700點晚間趨勢請看分析_MAC:比特幣

有時,面對單邊的行情,有人擅長持有,是對大方向堅定的認可,面對震蕩的行情,有人喜歡波段交易,是對區間嚴密的把控,這個中間沒有誰是絕對性的對,誰又是絕對性的錯,市場是個提款機,也是個收割機.

1900/1/1 0:00:00
人工智能如何通過“唇讀”按鍵來竊取您的數據_區塊鏈:PEN

面部識別不是壞演員和政府可以使用計算機識別的唯一可怕的東西。如果AI可以觀看我們在觸摸屏手機上敲打的視頻并確切推斷出我們正在使用什么應用程序以及正在鍵入什么內容,該怎么辦?現代計算機視覺技術具有.

1900/1/1 0:00:00
5億枚SBTC空投狂撒!_USD:SDD

尊敬的用戶: 為慶祝SBTC上線“小目標”專區,WBF將聯合SBTC任性空投5億枚SBTC糖果!活動規則:SBTC空投只針對WBF活躍用戶.

1900/1/1 0:00:00
ads