北京时间6月25日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,基于币安智能链(BSC)的链上DeFi协议xWin Finance遭到“闪电贷攻击”。据统计,xWin Finance代币(XWIN)24小时跌幅达近90%。
成都链安·安全团队第一时间介入分析,针对xWin Finance被黑事件启动安全应急响应。经由分析,xWin Finance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。
CZ:Binance未持有WazirX股份,仅提供钱包支持等服务:8月6日消息,Binance首席执行官CZ在社交媒体发文表示,Zanmai Labs是运营WazirX并由原始创始人建立的实体,Binance不拥有Zanmai Labs的任何股权。2019年11月21日,Binance发文称其已“收购”了WazirX,但该交易从未完成。Binance从未在任何时候拥有Zanmai Labs的任何股份。Binance仅作为技术解决方案为WazirX提供钱包服务,还有链下交易的集成服务,以节省网络费用。WazirX自身负责其他方面,包括用户注册、KYC、交易和发起提款。[2022/8/6 12:05:35]
首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。
5月份DeFi风险投资资金为1.763亿美元,为2021年9月以来最低水平:6月8日消息,以去中心化金融(DeFi)为重点的风险交易活动在 5 月份大幅下滑。5 月份 DeFi 风险投资资金仅为1.763亿美元,为2021年9月以来的最低水平。5月份DeFi投资仅占总投资的9%,NFT/Gaming最高占总投资的36%。(The Block)[2022/6/8 4:09:57]
元界DNA首批创世观察员完成主网换币:据官方消息,元界DNA近日开启创世观察员活动。8月18日20:00前,元界DNA将主网上的DNA代币转账至创世观察员的新链数字身份账户里,观察员可率先体验DNA主网的高效。
据悉,元界DNA为每位观察员提供1000个DNA的换币额度,本次活动观察时间为8月18号20:00—9月17日20:00。观察周期结束后,DNA基金会将为观察员账户再发放1000DNA的激励。[2020/8/18]
下图是攻击流程的一个循环:
1. 攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN(将向推荐人发放XWIN奖励);
2. 攻击者移除流动性,并兑换多余的XWIN进行回本;
3. 反复上述操作,不断积累奖励的XWIN;
4. 最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。
看到这里,不难发现,此次xWin Finance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。
攻击者利用了xWin Finance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。
因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。