事件概览
北京时间6月25日,链必安-区块链安全态势感知平台舆情监测显示,基于币安智能链的链上DeFi协议xWinFinance遭到“闪电贷攻击”。据统计,xWinFinance代币24小时跌幅达近90%。
成都链安·安全团队第一时间介入分析,针对xWinFinance被黑事件启动安全应急响应。经由分析,xWinFinance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。
安全机构:BSC链上Cupid代币合约遭受闪电贷攻击分析:8月31日消息,据Beosin EagleEye平台监测显示,BSC链上Cupid代币合约遭受闪电贷攻击,Beosin安全团队分析发现,Cupid合约0x40c994299fb4449ddf471d0634738ea79c734919有一个奖励的逻辑漏洞,拥有USDT/VENUS的LP代币可以得到Cupid代币,攻击者利用闪电贷贷出USDT,购买VENUS代币,抵押后得到LP代币,把LP发到多个地址后通过调用被攻击合约的0xe98bfe1e()函数claim得到Cupid代币,获得Cupid代币后抛售获利78,623 USDT。[2022/8/31 13:00:41]
事件分析
BSC链上跨链桥 Logan Network将于1月24日20:00开始首期挖矿:据官方消息,BSC币安智能链上跨链桥 Logan Network将于1月24日20:00开始首期挖矿,用户可通过抵押相关资产以获取Logan Governance Token奖励。获取的Logan奖励可质押至分红池,获取额外的SLogan。
Logan通过与不同的生态系统平台合作,引导各生态系统的早期用户进行跨链流动,实现各个公链以及layer2之间的资产快速流动,将不同链上资产的流动性聚合起来,构建去中心化方式的跨链资产移转。为更多的生态用户提供服务,提供最优质的交易体验,敬请关注Logan官方渠道。[2022/1/24 9:09:38]
首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。
JWAWA(吉娃娃)将于今晚20:00首发上线BSC:据官方消息,JWAWA(吉娃娃)将于5月11日20:00首发上线BSC,即将支持ETH、Heco、ZSC等多条公链上进行交互。
Jwawa是社区自治型通证,无私募,团队无预留,去中心化自发社区建设的实验。它是类似于Dogecoin的另一种meme代币。Jwawa是JIWAWA INU的原生代币,它将是第一个被去中心化交易所jwawaSwap上线并用于激励措施的代币。首次发行在BSC智能链,总量1000万亿,团队将于5月11日20:00前将全部Jwawa打入流动性资金池。[2021/5/11 21:49:17]
下图是攻击流程的一个循环:
1.?攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN;
2.?攻击者移除流动性,并兑换多余的XWIN进行回本;
3.?反复上述操作,不断积累奖励的XWIN;
4.最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。
事件复盘
看到这里,不难发现,此次xWinFinance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。
攻击者利用了xWin?Finance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。
因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失
标签:WINXWINBSCANCWINDY币xWIN FinanceVeldoraBSCiTrust Governance Token
上个月,萨尔瓦多国会以84名议员中获得62张赞成票通过了《比特币法》,在全球范围内首开主权国家将比特币作为法定货币的用例。据悉,该法案将允许比特币作为本国的所有支付形式,当获得商品或服务的人向他提供比特币支付时必须接受.
1900/1/1 0:00:00对于开发者来说,AUTH/AUTHCALL?机制非常具有吸引力。它可以让人们创建调用者来实现不同的批量处理策略、gas抽象模型和复杂的账户抽象方法等。这种灵活性源于这一机制赋予了开发者极大的自由.
1900/1/1 0:00:00根据消费者金融保护局的数据,在美国运营的三大加密货币交易所中,Coinbase今年迄今收到的投诉最多。Coinbase的消费者投诉数据库显示,针对Coinbase的投诉约有1060起,涉及国内和国际转账、数字钱包和外汇兑换等.
1900/1/1 0:00:00从去年6月开始,DeFi蓬勃发展已一年有余。在流动性挖矿的激励下,DeFi在资金规模、用户规模和产品规模方面都有了质的跨越.
1900/1/1 0:00:00今年,NFT和加密货币的受欢迎程度激增,这让每个人都想参与进来,包括名人。他们正在铸造自己的NFT并从加密货币代言中获得赞助。虽然NFT可能会继续盛行,但随着市场变得更加规范,名人NFT或将很快结束.
1900/1/1 0:00:00概要 1.?闪电贷是一种无抵押贷款,在DeFi中非常流行。2.尽管闪电贷很受欢迎,但被用来攻击脆弱DeFi协议,窃取数百万美元。你如果要以普通方式获得一笔贷款,需要提供资产储备、收入等其他方面证明,相比之下,闪电贷无需抵押和各种证明.
1900/1/1 0:00:00