慢霧：xToken 被黑事件分析_BNT:snx幣2023年行情

鏈捕手消息，以太坊DeFi項目xToken遭受攻擊，損失近2500萬美元，慢霧安全團隊介入分析，得出造成本次攻擊的原因如下：

本次被黑的兩個模塊分別是xToken中的xBNTa合約和xSNXa合約。兩個合約分別遭受了“假幣”攻擊和預言機操控攻擊。

一）xBNTa合約攻擊分析1.xBNTa合約存在一個mint函數，允許用戶使用ETH兌換BNT，使用的是BancorNetowrk進行兌換，并根據BancorNetwork返回的兌換數量進行鑄幣。2.在mint函數中存在一個path變量，用于在BancorNetwork中進行ETH到BNT的兌換，但是path這個值是用戶傳入并可以操控的3.攻擊者傳入一個偽造的path，使xBNTa合約使用攻擊者傳入的path來進行代幣兌換，達到使用其他交易對來進行鑄幣的目的。繞過了合約本身必須使用ETH/BNT交易對進行兌換的限制，進而達到任意鑄幣的目的。

慢霧：過去一周加密領域因安全事件累計損失3060萬美元:7月24日消息，據慢霧統計，上周加密領域因遭遇攻擊累計損失3060萬美元，攻擊者利用了不同的攻擊向量。這些事件包括Alphapo熱錢包被盜（損失2300萬美元）、Conic Finance遭閃電貸攻擊（損失30萬美元）以及重入攻擊（損失320萬美元）、GMETA發生RugPull（損失360萬美元）、BNO遭閃電貸攻擊（損失50萬美元）等。[2023/7/24 15:55:56]

二）xSNXa合約攻擊分析1.xSNXa合約存在一個mint函數，允許用戶使用ETH兌換xSNX，使用的是KyberNetwork的聚合器進行兌換。2.攻擊者可以通過閃電貸Uniswap中ETH/SNX交易對的價格進行操控，擾亂SNX/ETH交易對的報價，進而擾亂KyberNetwork的報價。從而影響xSNXa合約的價格獲取3.攻擊者使用操控后的價格進行鑄幣，從而達到攻擊目的。

慢霧：疑似Gemini相關地址在過去5小時內共轉出逾20萬枚ETH:金色財經消息，慢霧監測顯示，疑似加密交易所Gemini相關地址（0xea3ec2a08fee18ff4798c2d4725ded433d94151d）已在過去5小時內歸集并轉出逾20萬枚ETH（超3億美元）。[2022/7/19 2:22:08]

總結：本次xToken項目被攻擊充分展現了DeFi世界的復雜性，其中針對xSNXa的攻擊更是閃電貸操控價格的慣用手法。慢霧安全團隊建議DeFi項目開發團隊在進行DeFi項目開發的時候要做好參數校驗，同時在獲取價格的地方需要防止預言機操控攻擊，可使用Uniswap和ChainLink的預言機進行價格獲取，并經過專業的安全團隊進行審計，保護財產安全。

慢霧：Let's Encrypt軟件Bug導致3月4日吊銷 300 萬個證書:Let's Encrypt由于在后端代碼中出現了一個錯誤，Let's Encrypt項目將在撤銷超過300萬個TLS證書。詳情是該錯誤影響了Boulder，Let's Encrypt項目使用該服務器軟件在發行TLS證書之前驗證用戶及其域。慢霧安全團隊提醒：數字貨幣行業有不少站點或內部系統為安全目的而使用 Let's Encrypt 自簽證書，請及時確認是否受到影響。如有影響請及時更新證書，以免造成不可預知的風險。用戶可查看原文鏈接在線驗證證書是否受到影響。[2020/3/4]

參考鏈接：官方分析：https://medium.com/xtoken/initial-report-on-xbnta-xsnxa-exploit-d6e784387f8e

Tags：SNXETHBNTXSNsnx幣2023年行情ethw幣最新價格行情BNT價格XSN價格

SAND