BSC链上“闪电贷攻击”再袭 xWin Finance被薅羊毛事件简析_XWIN:United Farmers Finance

北京时间6月25日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,基于币安智能链(BSC)的链上DeFi协议xWin Finance遭到“闪电贷攻击”。据统计,xWin Finance代币(XWIN)24小时跌幅达近90%。

成都链安·安全团队第一时间介入分析,针对xWin Finance被黑事件启动安全应急响应。经由分析,xWin Finance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。

区块链项目Massa完成500万欧元融资,ZBSCapital等参投:11月11日消息,区块链项目Massa宣布完成500万欧元融资,本轮融资由BlueYard、Acecap、Numeus、CharlieSonghurst、Dascof、Mediapps、ArianeCapital、AnduranceVentures、AussieCapital、ZBSCapital、Bpifrance参投。据悉,Massa测试网于7月17日上线,目前处于第三阶段,开发者正着手研发其智能合约功能。[2021/11/11 6:46:25]

首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。

DeFi协议ApeRocket官方:闪电贷共造成126万美元损失,将在BSC上发布V2以重启:官方消息,DeFi收益挖矿聚合和优化器ApeRocket发布闪电贷攻击详情和补偿方案,ApeRocket的BSC版本和Polygon版本分别在4:30 AM和8:00 AM(UTC)遭遇闪电贷攻击,分别损失26万美元和100万美元。ApeRocket表示,将尝试补偿所有受问题影响的用户以及在攻击前持有SPACE / pSPACE的用户。对于BSC版本,ApeRocket正在开发V2,计划很快在这个新版本下重新启动网站。ApeRocket将开放一个清算池,还计划建立回购和销毁来提高价格。对于Polygon版本,因为发布比较匆忙,没有其他解决方案,只能设置一个新代币,并将此新代币分配给所有持有pSPACE的用户。ApeRocket还将使用Aperocket V2在Polygon中累积的绩效费用,采用积极的回购策略。

此前消息,据PeckShield派盾预警显示,Aperocket.finance遭到闪电贷攻击,代币Space闪跌75%,请用户注意风控。[2021/7/15 0:53:42]

币安BSC链上DeFi项目Meerkat Finance疑似跑路 损失3150万美元:3月4日消息,币安BSC链上的DeFi项目Meerkat Finance疑似跑路,PeckShield“派盾”安全人员快速定位并追踪发现,“农民”把真金白银抵押BUSD和BNB后,攻击者利用后门卷走3150万美元,其中包含价值1400万美元的BUSD和价值1760万美元的BNB。[2021/3/4 18:15:32]

下图是攻击流程的一个循环:

1. 攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN(将向推荐人发放XWIN奖励);

2. 攻击者移除流动性,并兑换多余的XWIN进行回本;

3. 反复上述操作,不断积累奖励的XWIN;

4. 最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。

看到这里,不难发现,此次xWin Finance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。

攻击者利用了xWin Finance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。

因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-1:89ms