BSC链上“闪电贷攻击”再袭 xWin Finance被薅羊毛事件简析

北京时间6月25日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,基于币安智能链(BSC)的链上DeFi协议xWin Finance遭到“闪电贷攻击”。据统计,xWin Finance代币(XWIN)24小时跌幅达近90%。

成都链安·安全团队第一时间介入分析,针对xWin Finance被黑事件启动安全应急响应。经由分析,xWin Finance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。

波卡生态概念板块今日平均跌幅为1.71%:金色财经行情显示,波卡生态概念板块今日平均跌幅为1.71%。26个币种中6个上涨,20个下跌,其中领涨币种为:INSTAR(+39.01%)、EDG(+24.97%)、CHI(+7.45%)。领跌币种为:KLP(-24.44%)、PHA(-9.01%)、AR(-8.82%)。[2021/1/8 15:41:05]

首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。

下图是攻击流程的一个循环:

1. 攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN(将向推荐人发放XWIN奖励);

2. 攻击者移除流动性,并兑换多余的XWIN进行回本;

3. 反复上述操作,不断积累奖励的XWIN;

4. 最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。

看到这里,不难发现,此次xWin Finance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。

攻击者利用了xWin Finance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。

因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

狗狗币“NFT+元宇宙”是下一个投资风口?

对这几天关于NFT和加密艺术品的文章,读者留言中有不少关于这些艺术品的评论。抛开NFT艺术品的市场价格不谈,仅对NFT艺术品本身的欣赏和认可来说,这些评论的反差都比较大。这种极端化的反差实际上早在NFT艺术品问世时就有了,并且一直在延续。 目前对这些艺术品的评价,不仅普通观众,就连专业艺术人员对它们的认可都是非常低的。

Uniswap金色观察丨算力暴跌抛压来袭 最慌的竟然不是矿工?

金色财经 区块链7月2日讯 比特币价格在今年五月出现了年内第一次“投降”,紧接着比特币市场开始出现抛售迹象。就在上周(六月的最后一周),市场再次“投降”,比特币一度跌至28,993美元,损失创下历史最高记录,到达了34.5亿美元,不过现在比特币价格已经恢复到35,000美元左右。

以太坊最新价格DAO 的社区银行能如何改变传统组织?

用新的方式来组建以价值观为导向的组织,而不是纯粹的经济利益驱动。 原文标题:《DAO 之道:资源分配是新的行动主义》 DAO (去中心化自治组织)是互联网原生组织,由社区通过透明的决策过程运行和管理。与传统组织不同,DAO 利用区块链使社区中的每个人都能对关键的治理和资源管理决策提出意见,这是一种被称为社区银行的做法。

[0:15ms0-9:89ms