收藏本站 网站导航 开放平台 Sunday, September 26, 2021 星期日

BSC链上“闪电贷攻击”再袭 xWin Finance被薅羊毛事件简析

来源 中金网 06-25 19:03
摘要: 项目方应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失。
事件概览

  区块天眼APP讯 : 北京时间6月25日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,基于币安智能链(BSC)的链上DeFi协议xWin Finance遭到“闪电贷攻击”。据统计,xWin Finance代币(XWIN)24小时跌幅达近90%

  成都链安·安全团队第一时间介入分析,针对xWin Finance被黑事件启动安全应急响应。经由分析,xWin Finance被黑事件颇具“代表性”“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。

事件分析

  首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。

  下图是攻击流程的一个循环:

  1. 攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN(将向推荐人发放XWIN奖励);

  2. 攻击者移除流动性,并兑换多余的XWIN进行回本;

  3. 反复上述操作,不断积累奖励的XWIN;

  4. 最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。

事件复盘

  看到这里,不难发现,此次xWin Finance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”

  攻击者利用了xWin Finance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。

  因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失

更多区块链消息,请关注下载区块天眼APP,全球区块链监管查询APP 。

DeFi
免责声明:中金网发布此信息目的在于传播更多信息,与本网站立场无关。中金网不保证该信息的准确性、真实性、完整性、有效性等。相关信息并未经过本网站证实,不构成任何投资建议,据此操作,风险自担。
相关新闻 更多

仿 Loot 平台蜂拥而至, NFT 是新时代的郁金香吗?

铸造 NFT 正在丧失其稀缺性。原文标题:《NFT 投资,是在垃圾堆里淘金?》撰

59分钟前

NFT项目捐出100%收入以帮助阿富汗妇女接受教育

NFT公司Bookblocks.io与一家位于纽约的公司阿富汗妇女组织(Women for Afghan Women)合作,帮助阿富汗妇女获得教育机会。

2小时前

一文读懂去中心化互联网视频项目Glass

你爱刷抖音、快手吗?你在腾讯视频、优酷、爱奇艺看过爱豆影视综艺作品吗?如果答案是

7小时前
天眼经纪商 更多
天眼交易所 更多
猜你喜欢