首發 | 損失2500萬美元 xToken攻擊事件簡析_區塊鏈:有人靠區塊鏈4天就掙了30萬嗎

北京時間5月13日，CertiK安全技術團隊發現DeFi質押和流動性策略平臺xToken遭到攻擊，xBNTaBancor池以及xSNXaBalancer池立即被耗盡，造成近2500萬美元損失。

5月還未過去一半的時間，這次的攻擊事件加上5月已發生的其他攻擊事件，竟已有大約8500萬美元被盜了。

CertiK安全團隊在2020年發現的關鍵bug分為三類：邏輯錯誤，閃電貸和項目方欺詐。

本次事件部分可以算的上是一次并非“典型”的閃電貸攻擊。

閃電貸可以在無需提供任何抵押的情況下進行貸款，當然所有操作必須在一個交易區塊內完成。

開發人員可以從Aave或dYdX等協議中借貸，條件是在交易結束之前將流動資金返還到資金池中。

首發 | 歐科云鏈推出“天眼方案”推動鏈上安全系統再升級:8月28日，區塊鏈產業集團歐科云鏈宣布推出區塊鏈“天眼方案”，主要通過鏈上數據追蹤系統研發、對外技術支持、凝聚企業眾力等途徑，全面助力區塊鏈安全提升和產業平穩健康發展。

據了解，在“天眼方案”下，歐科云鏈集團將打造鏈上數據追蹤系統，通過溯源數字資產、監控非法交易等手段，全力遏制洗錢等非法行為；協助執法機關辦案，并為打造法務等區塊鏈系統提供技術支持；為聯盟鏈和基于各類業務的鏈上數據提供區塊鏈+大數據的解決方案。[2020/8/28]

如果資金未能及時返回，則交易將被撤回，從而確保儲備池的安全。

閃電貸具備多種功能和用例，但我們目前看到的多數閃電貸都被用于套利交易。?

而惡意使用方式則是攻擊其他一些DeFi協議或操縱價格預言機的價格——這也正是此次xToken發生的情況。

首發 | 劉堯：百度區塊鏈推出天鏈平臺賦能鏈上業務:12月20日，由CSDN主辦的“2019中國區塊鏈開發者大會”12月20日在北京舉行。百度智能云區塊鏈產品負責人劉堯以《企業區塊鏈賦能產業創新落地》為主題進行了演講，他指出：2020年將是區塊鏈企業落地的元年，為了支持中國區塊鏈的產業落地，百度將區塊鏈進行平臺化戰略升級，依托百度智能云推出天鏈平臺，就是要賦能360行的鏈上業務創新落地。[2019/12/20]

弗蘭克研究員在推特上解釋攻擊是如何發生的

1. 黑客在dYdX上利用閃電貸借出大約61800個ETH。

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊，近日，DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞，攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息，嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件，DVP安全團隊在收到該漏洞后，第一時間通知該平臺進行修復，但未收到回應。DVP提醒相關用戶關注個人信息安全，以免造成損失。[2019/8/13]

2. 在Aave上存入10000個ETH借出56.4萬個SNX，然后通過SushiSwap將5500個ETH換成約70萬個SNX。

之后在Uniswap v2上賣出120萬SNX，獲得818ETH，借此大大降低了SNX的價格。

3. 在價格降低后，?攻擊者只用了0.12個ETH就鑄造了12億xSNXa。

首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》，經金色財經查證，游戲中玩家達到22級將會接觸到專屬貓的玩法，而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外，游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售，也無法進入市場與其他玩家配對；但是你可以使用這些貓與你的QQ/微信好友進行配對，產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后，這些貓就可以進入市場，通過配對賺取點券，或者出售賺取點券。專屬貓是否上鏈，并不影響它的增益效果。但只有上鏈后，它才能面對全服務器所有的玩家進行繁殖、交易。

?

《一起來捉妖》中的專屬貓玩法，基于騰訊區塊鏈技術，游戲中的虛擬數字資產得到有效保護。此外，基于騰訊區塊鏈技術，貓也可以自由繁殖，并且運用區塊鏈技術存儲、永不消失。[2019/4/11]

這是因為該協議通過Kyber價格預言機購買SNX并鑄造xSNXa，而Kyber價格預言機參照了Uniswap v2的價格。

4. 然而在Balancer協議中，xSNXa的價格還是原來的價格，這使得攻擊者可以將1.05億 xSNX換成414個 ETH。

5. 之后，攻擊者在Uniswap和Sushiswap上用ETH購買SNX來償還Aave上的借貸, 將現有的xSNXa賣給Balancer的SNX/ETH/xSNXa（25/25/50）池子, 獲利的同時償還了dYdX的閃電貸。

xBNTa的合約通過ETH來鑄造xBNTa。?

其原理是在智能合約中在Bancor協議中將ETH換成BNT，并利用換來的BNT數量來計算鑄造的xBNTa數量。

然而合約中的"mint"方法并未驗證用ETH換來的幣是否為BNT，攻擊者使用了一個總量極大的代幣SPD替換了BNT，偽造了BNT的數量，使其可以無限增發xBNTa。

攻擊者調用了“mint”方法四次，每次使用0.03ETH鑄造大量的xBNTa，最終獲得了39億xBNTa，并將獲得的一半的xBNTa換成了大約78萬BNT。

但為什么說這次黑客攻擊和以往的閃電貸攻擊不同呢？

因為攻擊者的這筆交易使用了Flashbots MEV來實施，保證了交易的私密性, 防止這筆交易在和AMM交互時被別的用戶進行了“三明治攻擊”。

術語詳解

Flashbots是一個研究和開發組織，成立的初衷是緩解由 "礦工可抽取價值(miner-extractable value, MEV)" 給智能合約平臺型區塊鏈帶來的負面影響和生存風險。

他們提議為 MEV設計一種無需許可、透明且公平的生態系統，來保衛以太坊的理念。

礦工可抽取價值（MEV）是一種設計用來研究共識安全的標準，它模擬了礦工（或節點驗證者）通過任意包含、去除或重新排序他們產生的區塊中的交易的能力而獲得的利潤。

例如，攻擊者可以看到一個有利可圖的交易，并試圖通過支付更高的交易費用來提前進行交易，從而獲得利潤。或者通過對AMM交易進行三明治攻擊。

三明治攻擊：當攻擊者在交易池中觀察到一筆資產X換取資產Y的交易后，攻擊者可以提前買入資產Y，隨后讓受害者執行交易來提升Y資產的價格，然后在Y資產價格上升后出售先前購入的資產Y來獲取利潤。

因此，即使是攻擊者也需要警惕黑暗森林中所有潛伏的掠奪者。

Flashbots需要用戶使用個人的API密鑰，攻擊者極有可能在使用Flashbots的時候留下自己的蹤跡。

因此查找該API密鑰的使用歷史也可作為追回損失的手段之一。

xToken作為一個已經過大型安全公司審計的優秀DeFi項目遭受這樣的攻擊其實是并不常見的。

這也再次向我們揭露了一個事實：靜態安全審計并無法保障100%的安全。

安全并非是一次性的，它是一個持續的過程。

區塊鏈技術日新月異，新的攻擊方式同樣層出不窮。

我們無法知道和預判將要面臨的下一次攻擊，作為業內領先的區塊鏈安全公司，CertiK開發的一系列安全工具及完備的安全服務將為項目方和投資者提供安全保障，一旦加密資產出現意外失竊情況，損失將因此降至最低。

Tags：區塊鏈SNXBNTETH有人靠區塊鏈4天就掙了30萬嗎snx幣2023年行情bnt幣最新消息ethereal做英文名

酷幣交易所