블록체인 보안 전문 업체 슬로우미스트(SlowMist Zone)가 오늘 플래시론 공격 피해를 입은 디파이 프로토콜 xToken에 대한 분석 결과를 내놓았다. xToken은 오늘 플래시론 공격으로 약 2,500만 달러 규모의 손실을 입은 것으로 알려졌다. 보고서에 따르면 공격자는 xBNTa 컨트렉트 및 xSNXa 컨트렉트에 위조 토큰, 오라클 컨트롤을 악용한 공격을 가한 것으로 전해졌다. 각 컨트렉트에 대한 공격 분석은 다음과 같다. 1) xBNTa 컨트렉트 ① 민트(mint) 함수를 포함하고 있는 해당 컨트렉트는 이용자의 ETH-BNT 환전을 지원. 환전 시 사용하는 네트워크는 방코르 네트워크(Bancor Netowrk). ② 민트 함수는 방코르 네트워크에서 ETH를 BNT로 환전할 때 사용되는 path 변수를 포함하고 있음. 다만, 해당 path 값은 이용자가 전달, 설정 가능함. ③ 공격자는 path 값을 임의로 위조, xBNTa 컨트렉트가 위조된 path 값을 통해 토큰 환전을 유도함. 이를 통해 컨트렉트가 ETH/BNT 거래 페어를 활용해 환전한다는 한계점을 조작, 임의로 도난 토큰을 주조함. 2) xSNXa 컨트렉트 ① 해당 컨트렉트는 이용자가 ETH을 Xsnx로 환전할 때 사용하는 mint 함수를 포함하고 있음. 카이버 네트워크(Kyber Network)의 애그리게이터(aggregator)를 활용해 환전함. ② 공격자는 플래시론 유니스왑의 ETH/SNX 거래쌍 가격을 조작해 SNX/ETH 거래페어 가격 설정을 방해했으며, 이를 통해 카이버 네트워크 오퍼에 혼란을 줌. 이는 해당 컨트렉트에 직접적인 영향을 끼침 ③ 공격자는 조작된 가격으로 토큰을 주조함. 한편 코인마켓캡 기준 xToken은 현재 34.81% 내린 0.248 달러에 거래되고 있다.