一、事件概览北京时间6月25日,链必安-区块链安全态势感知平台舆情监测显示,基于币安智能链的链上DeFi协议xWinFinance遭到“闪电贷攻击”。据统计,xWinFinance代币24小时跌幅达近90%。成都链安·安全团队第一时间介入分析,针对xWinFinance被黑事件启动安全应急响应。经由分析,xWinFinance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。
二、事件分析首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。
下图是攻击流程的一个循环:攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN;
2.攻击者移除流动性,并兑换多余的XWIN进行回本;3.反复上述操作,不断积累奖励的XWIN;4.最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。
三、事件复盘看到这里,不难发现,此次xWinFinance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。攻击者利用了xWinFinance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失。
在比特币ETF获准上市之前,灰度比特币信托是为数不多的为公司机构、个人投资者、家族理财基金等提供合法合规投资比特币途径的投资产品.
以太坊Layer2的重要起点UniswapV3于今日在OptimisticEthereum主网上启动其Alpha版本,这意味着以太坊的layer2又向前推进了一大步.
如果有人能总结2021年加密界发生了什么,那就说明这一年一开始很顺利,但到了年中,情况就变坏了.
Moonbeam财政库 财政库用于管理链上资金。Moonbeam将设立一个社区化的财政库,用于支持未来Moonbeam网络的发展。网络交易费用的一部分将存储于财政库,并由理事会管理.
这是白话区块链的第1366期原创作者|hebao出品|白话区块链6月30日,Circle与Coinbase联手创办的合规美元稳定币USDC.
热点解读——NFT平台Autograph将开发饥饿游戏、暮光之城等IP,IP衍生品新赛道? 饥饿游戏 暮光之城由橄榄球运动员TomBrady创办的NFT平台Autograph宣布与狮门影业和数字.