预言机网络公司 XY Labs 2022 年上半年净销售额达 730 万美元，同比增长 51.9%

9月29日消息，XY Labs 发布 2022 年上半年财报，其净销售额达 730 万美元，同比增长 51.9% ；销售成本同比增加 2.3 万美元；息前税前利润减少约 650 万美元。

据悉，XY Labs 是一家总部位于加利福尼亚州的科技公司，致力于创建软件和位置数据驱动的设备，以建立一个全球数据网络。 XY Labs 的产品包括 COIN 应用程序，预言机网络 XYO。超过 500 万个节点为 XYO 网络上线，全世界的用户都可以参与网络，甚至可以获得金钱奖励。（businesswire）

慢雾xToken被黑事件分析：两个合约分别遭受“假币”攻击和预言机操控攻击:据慢雾区消息，以太坊 DeFi 项目 xToken 遭受攻击，损失近 2500 万美元，慢雾安全团队第一时间介入分析，结合官方事后发布的事故分析，我们将以通俗易懂的简讯形式分享给大家。

本次被黑的两个模块分别是 xToken 中的 xBNTa 合约和 xSNXa 合约。两个合约分别遭受了“假币”攻击和预言机操控攻击。

一）xBNTa 合约攻击分析

1. xBNTa 合约存在一个 mint 函数，允许用户使用 ETH 兑换 BNT，使用的是 Bancor Netowrk 进行兑换，并根据 Bancor Network 返回的兑换数量进行铸币。

2. 在 mint 函数中存在一个 path 变量，用于在 Bancor Network 中进行 ETH 到 BNT 的兑换，但是 path 这个值是用户传入并可以操控的

3. 攻击者传入一个伪造的 path，使 xBNTa 合约使用攻击者传入的 path 来进行代币兑换，达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用 ETH/BNT 交易对进行兑换的限制，进而达到任意铸币的目的。

二）xSNXa 合约攻击分析

1. xSNXa 合约存在一个 mint 函数，允许用户使用 ETH 兑换 xSNX，使用的是 Kyber Network 的聚合器进行兑换。

2. 攻击者可以通过闪电贷 Uniswap 中 ETH/SNX 交易对的价格进行操控，扰乱 SNX/ETH 交易对的报价，进而扰乱 Kyber Network 的报价。从而影响 xSNXa 合约的价格获取

3. 攻击者使用操控后的价格进行铸币，从而达到攻击目的。

总结：本次 xToken 项目被攻击充分展现了 DeFi 世界的复杂性，其中针对 xSNXa 的攻击更是闪电贷操控价格的惯用手法。慢雾安全团队建议 DeFi 项目开发团队在进行 DeFi 项目开发的时候要做好参数校验，同时在获取价格的地方需要防止预言机操控攻击，可使用 Uniswap 和 ChainLink 的预言机进行价格获取，并经过专业的安全团队进行审计， 保护财产安全。详情见官网。[2021/5/13 21:57:48]

基于波场公链开发的预言机项目AlphaLink将于今晚8点首发JustSwap:据官方发推称，基于波场公链开发的预言机项目AlphaLink（ANK）将于今晚8点首发JustSwap，代币名称为ANK，合约地址更改为TCsxTt938mi536b4PMweLK4y4EJUjzL574，同时项目称也在极配合JustSwap官方进行项目真实性核实行动，以此确保用户购买的是真ANK。[2020/8/19]

报告：Compound开放式预言机集成Uniswap V2无严重漏洞:据官网消息，网络安全公司OpenZeppelin已发布Compound的开放式预言机（Open Oracle）集成Uniswap V2的审计报告。报告显示无严重或高危漏洞，但提出了部分的变化。

报告指出，开放式预言机旨在允许受信任的汇报者在链上发布一系列资产价格，这些价格将以Uniswap V2的市场价格作为基础，发布价格的人只能在一定程度上偏离Uniswap V2的价格（具体由部署者决定），这可以很大程度上限制汇报者操纵预言机的权力。[2020/7/20]

相关资讯