BSC链上“闪电贷攻击”再袭 xWin Finance被薅羊毛事件简析

北京时间6月25日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,基于币安智能链(BSC)的链上DeFi协议xWin Finance遭到“闪电贷攻击”。据统计,xWin Finance代币(XWIN)24小时跌幅达近90%。

成都链安·安全团队第一时间介入分析,针对xWin Finance被黑事件启动安全应急响应。经由分析,xWin Finance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。

Origin Protocol推出NFT系列“Lucky Ducky”并将与The Sandbox和Decentraland集成:金色财经报道,据起源协议 Origin Protocol 官方博客披露,该协议宣布推出“幸运鸭”Lucky Ducky NFT 系列,此系列由 7,777 个数字鸭子黏土雕塑组成,将在以太坊区块链上进行铸造。Lucky Ducky 原画作者是艺术家、动画师兼导演 0fish0,他曾推出过 Cool Cats 衍生项目 Clay Cats。根据 Origin Protocol 披露的信息显示,“幸运鸭”Lucky Ducky NFT 后续会与 Decentraland 和 The Sandbox 元宇宙进行集成。此外,Origin Protocol 透露 “幸运鸭”Lucky Ducky NFT 铸造将于太平洋时间 3 月 22 日上午 9 点开始,公开发售将于太平洋时间 3 月 24 日上午 9 点开始。[2022/3/20 14:07:33]

首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。

下图是攻击流程的一个循环:

1. 攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN(将向推荐人发放XWIN奖励);

2. 攻击者移除流动性,并兑换多余的XWIN进行回本;

3. 反复上述操作,不断积累奖励的XWIN;

4. 最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。

看到这里,不难发现,此次xWin Finance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。

攻击者利用了xWin Finance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。

因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链杂谈

USDT拆除白马门:从开放金融到开放艺术

历史剧《三国》中呈现了这样一个故事:东汉末期,已经越制称魏王的曹操,距离帝位,仅一步之遥。有一次曹操的儿子曹植,有急事要进皇宫,如果从白马门(一说:司马门)走的话,可以节约一个时辰的路程。按照汉朝的规制,白马门只有天子的车架才能通过,曹植因其父势大,不以为然,打算从白马门通过。曹植到白马门口,却被忠于汉室的旧臣荀彧拦了下来。

比特币交易所下半年的重头戏是比特币ETF 6月份收官在即

近两天国内消息面比较平静,更多具有影响力的消息还是反应在国外,而且主要是美国。 ETF是永远逃不过的话题,目前已经有13家金融机构在申请比特币ETF,若是真的无法通过的话,这些机构不会同时前仆后继的进行这方面的申请,而且一旦有一家通过的话,那就绝对不会只有一家能通过,至于最后是否有限制和限制在多少家ETF,就要看美国监管部门的规定。

[0:15ms0-0:500ms