事件概覽
北京時間6月25日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,基于幣安智能鏈的鏈上DeFi協議xWinFinance遭到“閃電貸攻擊”。據統計,xWinFinance代幣24小時跌幅達近90%。
成都鏈安·安全團隊第一時間介入分析,針對xWinFinance被黑事件啟動安全應急響應。經由分析,xWinFinance被黑事件頗具“代表性”及“典型性”,有必要針對攻擊流程進行披露,以起警示作用。攻擊者通過“閃電貸”套出原始資金,并重復攻擊步驟,最終完成獲利,成功“薅羊毛”。
BSCFA宣布DOGE FOOD獲得BSCSTAR白名單:據官方消息,BSCFA官方渠道宣布,DOGE FOOD成為BSCSTAR白名單項目。BSCSTAR是BSCFA(公益基金組織)發布的一個明星項目評選,主要挑選GameFi/NFT/社交/元宇宙類項目進行評比,最終評選冠軍項目將獲得300W美金的天使輪融資。據悉,DOGEFOOD是BSC鏈上的一款Meme代幣,目前主要做NFT&GameFi方向,其NFT平臺與Tofu達成合作。[2022/6/6 4:06:08]
事件分析
LendHub開啟跨鏈至BSC網絡的社區治理投票:LendHub即將開啟跨鏈至BSC網絡的DAO社區治理投票,所有持幣LHB的用戶均可通過DAO鎖倉參與本次投票。若社區投票通過,去中心化借貸平臺LendHub將跨鏈至BSC,實現Heco鏈與BSC鏈雙生態共同發展。[2021/5/19 22:19:59]
首先,攻擊者利用“推薦人將獲得獎勵”的特殊機制,利用“閃電貸”多次添加和移除流動性,從而獲得了巨量獎勵,以進行獲利。
1inch已集成BSC上去中心化交易所Uranium Finance:4月27日消息,DEX聚合器1inch已集成BSC上低交易費去中心化交易所Uranium Finance。[2021/4/27 21:03:14]
下圖是攻擊流程的一個循環:
1.?攻擊者首先利用閃電貸借來的巨量BNB并調用Subscribe,從而獲得了LP以及多余的XWIN;
2.?攻擊者移除流動性,并兌換多余的XWIN進行回本;
3.?反復上述操作,不斷積累獎勵的XWIN;
4.最終,攻擊者取出積累的XWIN獎勵,全部兌換成BNB,離場。
事件復盤
看到這里,不難發現,此次xWinFinance被黑事件攻擊手法并不復雜;與其說此次事件是一次“黑客攻擊”,其實更像是一次“黑客薅羊毛”。
攻擊者利用了xWin?Finance的“獎勵機制”,不斷添加移除流動性,進而獲取獎勵。在正常情況下,由于用戶的添加量不大,因此獲取的收益可能會很小,甚至不足以支付手續費;但在巨量資金面前,獎勵就會變得異常高了。
因此,成都鏈安·安全團隊建議,項目方在日常的安全防護工作之中,除了要搭建起一整套健全的防范機制和風控系統以外,也應當注意核查項目自身的推廣手段和獎勵機制是否會存在一定漏洞,以防攻擊者借機開展攻擊,造成巨額損失
加密貨幣正受到全球范圍內的更多監管打擊,合規化運營希望渺茫。英國市場金融行為監管局6月25日表示,幣安不得在英國開展任何受FCA監管的金融業務,不得向個人客戶提供貸款業務.
1900/1/1 0:00:00這是一個引人入勝的想法,可以讓我們在短時間內討論深不可測的財富創造。我們所面臨的變化和增長的規模之大令人難以理解。簡單地說,這是自17世紀以來最大的增長趨勢.
1900/1/1 0:00:00BitKeep正式推出cBKB,并推出cBKB社區激勵系列活動于6月23日全面開啟,cBKB后期可兌換成BKB使用.
1900/1/1 0:00:00加密資產市場上充斥著大量的穩定幣,這些穩定幣的去處,成為投資者關注的熱點,鏈上穩定幣兌換協議Curve的交易及鎖倉量也是關注點之一,因為在市場行情下行、鏈上DeFi協議鎖倉量大幅下滑時.
1900/1/1 0:00:00羊毛黨在金融圈隨處可見,幣圈也不例外。最初用戶利用各個交易所的價差搬磚套利,逐步發展到利用現貨和期貨的價差套保獲利,近期隨著defi的興起,挖提賣的零擼模式受到了玩家的熱捧.
1900/1/1 0:00:00去中心化金融正在重新定義金融的未來,為金融應用提供動力的底層基礎設施正在發生重大轉變,它正在改變我們對權限和控制、透明度和風險的思考方式.
1900/1/1 0:00:00