BSC链上“闪电贷攻击”再袭 xWin Finance被薅羊毛事件简析

北京时间6月25日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,基于币安智能链(BSC)的链上DeFi协议xWin Finance遭到“闪电贷攻击”。据统计,xWin Finance代币(XWIN)24小时跌幅达近90%。

成都链安·安全团队第一时间介入分析,针对xWin Finance被黑事件启动安全应急响应。经由分析,xWin Finance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。

数据:美国区块链ETF去年平均投资回报率为74%:ETFdb数据库数据显示,在美国交易所上市的四只区块链ETF基金去年的平均投资回报率为 74%。Amplify Transformional Data Sharing ETF 的回报率最高,为 136.09%,其次是 Siren ETF Trust Siren Nasdaq NexGen Economy ETF,为 72.45%。此外,Capital Link NextGen Protocol ETF 的投资回报率为 43.85%,而 First Trust Indxx 创新交易和流程 ETF 的回报率为 43.66%。区块链 ETF投资于通过部署区块链技术从事发展业务的公司。此外,这些基金还投资于与比特币等加密货币表现挂钩的期货和期权。最后,他们还投资于Grayscale或Bitwise等加密资产管理公司。(finbold)[2021/6/19 23:49:07]

首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。

下图是攻击流程的一个循环:

1. 攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN(将向推荐人发放XWIN奖励);

2. 攻击者移除流动性,并兑换多余的XWIN进行回本;

3. 反复上述操作,不断积累奖励的XWIN;

4. 最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。

看到这里,不难发现,此次xWin Finance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。

攻击者利用了xWin Finance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。

因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

屎币金色观察 | 加密新规引担忧 韩国交易所或为生存进行法律斗争

随着韩国监管措施的临近以及韩国政府的最新信号,韩国交易所表示出对相关举措的担忧。 此前消息,根据韩国《特定金融交易信息法》修订版,加密交易所需从银行获得实名账户方可营业。金融监管部门也表示,虚拟资产运营商必须在9月24日前向金融服务委员会金融情报室(FIU)提交报告。FIU的审查期通常为3个月左右。通过审查,作出接受或不接受的决定。

波场当可拆分NFT遇见AI赋能 Embrace或将创新NFT交易

2021年NFT市场正经历爆发式增长。 数据能说明一切,2020年Q4NFT销售额仅9300万美元,而2021年Q1NFT的销售额达到20亿美元,增长超过20倍。 Embrace创始人Bob Angell博士近日在接受金色财经记者采访时表示,这是因为传统数字艺术品交易模式存在一些问题,比如: 1、传统艺术市场的门槛太高。只有少数人可以参与拍卖。

[0:15ms0-2:902ms