慢霧分析 xToken 被黑：兩個被黑合約分別遭到假幣攻擊和預言機操作攻擊_ACO:KODACHI幣

鏈聞消息，據慢霧區，針對DeFi項目xToken遭受攻擊損失近2500萬美元一事，慢霧安全團隊分析稱，本次被黑的兩個模塊分別是xToken中的xBNTa合約和xSNXa合約，兩個合約分別遭受了「假幣」攻擊和預言機操控攻擊。具體分析如下：一、xBNTa合約攻擊分析：1.xBNTa合約存在一個mint函數，允許用戶使用ETH兌換BNT，使用的是BancorNetowrk進行兌換，并根據BancorNetwork返回的兌換數量進行鑄幣。2.在mint函數中存在一個path變量，用于在BancorNetwork中進行ETH到BNT的兌換，但是path這個值是用戶傳入并可以操控的3.攻擊者傳入一個偽造的path，使xBNTa合約使用攻擊者傳入的path來進行代幣兌換，達到使用其他交易對來進行鑄幣的目的。繞過了合約本身必須使用ETH/BNT交易對進行兌換的限制，進而達到任意鑄幣的目的。二、xSNXa合約攻擊分析：1.xSNXa合約存在一個mint函數，允許用戶使用ETH兌換xSNX，使用的是KyberNetwork的聚合器進行兌換。2.攻擊者可以通過閃電貸Uniswap中ETH/SNX交易對的價格進行操控，擾亂SNX/ETH交易對的報價，進而擾亂KyberNetwork的報價。從而影響xSNXa合約的價格獲取3.攻擊者使用操控后的價格進行鑄幣，從而達到攻擊目的。

慢霧安全預警：Nacos出現遠程代碼執行漏洞攻擊案例，請相關方及時升級:金色財經報道，據慢霧區消息，Nacos 出現遠程代碼執行漏洞攻擊案例。Nacos 是 Alibaba 開源的一個更易于構建云原生應用的動態服務發現、配置管理和服務管理平臺，幫助用戶快速實現動態服務發現、服務配置、服務元數據及流量管理。Nacos 在處理某些基于 Jraft 的請求時，采用 Hessian 進行反序列化，但并未設置限制，導致應用存在遠程代碼執行（RCE）漏洞。其中，1.4.1 <= Nacos < 1.4.6，使用 cluster 集群模式運行受影響；1.4.0、2.0.0 <= Nacos < 2.2.3，任意模式啟動均受到影響。加密貨幣行業有大量平臺采用此方案，請注意風險，并將 Nacos 升級到官方最新新版本。[2023/6/9 21:25:29]

慢霧：攻擊Ronin Network的黑客地址向火幣轉入3750枚 ETH:3月30日消息，慢霧發推稱，攻擊Axie Infinity側鏈Ronin Network的黑客地址向交易所火幣轉入3750枚ETH。此前金色財經報道，Ronin橋被攻擊，17.36萬枚ETH和2550萬USDC被盜。[2022/3/30 14:26:38]

慢霧：警惕高危Apache Log4j2遠程代碼執行漏洞:據慢霧安全情報，在12月9日晚間出現了Apache Log4j2 遠程代碼執行漏洞攻擊代碼。該漏洞利用無需特殊配置，經多方驗證，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架，建議廣大交易所、錢包、DeFi項目方抓緊自查是否受漏洞影響，并盡快升級新版本。[2021/12/10 7:30:00]

Tags：ETHACHACOBNTeth學校KODACHI幣KOACOMBATbnt幣前景

火幣交易所