事件概覽
北京時間6月25日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,基于幣安智能鏈的鏈上DeFi協議xWinFinance遭到“閃電貸攻擊”。據統計,xWinFinance代幣24小時跌幅達近90%。
成都鏈安·安全團隊第一時間介入分析,針對xWinFinance被黑事件啟動安全應急響應。經由分析,xWinFinance被黑事件頗具“代表性”及“典型性”,有必要針對攻擊流程進行披露,以起警示作用。攻擊者通過“閃電貸”套出原始資金,并重復攻擊步驟,最終完成獲利,成功“薅羊毛”。
Braggling Coin (CNB) 上線BSC:據推特消息,CNB已上線BSC智能鏈,可在PancakeSwap使用USDT交易對交易。CNB初始銷毀40%,空投10%給社區,其余全部加入資金池,首批空投已經啟動,即將上線流動性挖礦并登錄主流交易所。[2021/5/12 21:54:51]
事件分析
首先,攻擊者利用“推薦人將獲得獎勵”的特殊機制,利用“閃電貸”多次添加和移除流動性,從而獲得了巨量獎勵,以進行獲利。
MDEX(BSC版)流動性挖礦調整及即將開啟Boardroom回購銷毀:據官方消息,MDEX.COM(BSC版)單幣質押挖礦獎勵將于4月18日20:00(UTC+8)全部停止。以及將開啟Boardroom董事會回購銷毀,將于4月21日20:00(UTC+8)開啟。關于回購銷毀規則:MDEX將把每日對應比例的平臺收入注入待回購資金池,當觸發回購價格(72小時MDX均價)時,由智能合約自動執行回購并銷毀。如未被觸發,則會持續累計進入到回購資金池。詳情請見公告鏈接。[2021/4/18 20:33:40]
MXC抹茶上線BSC鏈項目BUNNY、 BELT、ALPACA:據官方公告,MXC抹茶將于4月12日20:00、21:00、22:00上線BUNNY、BELT、ALPACA,開放USDT交易,現已開啟充值和提現。4月12日20:00-4月15日20:00,凈充值上述任意資產,充值金額不低于50USDT,可根據凈充值金額占比瓜分5000USDT。[2021/4/12 20:11:02]
下圖是攻擊流程的一個循環:
1.?攻擊者首先利用閃電貸借來的巨量BNB并調用Subscribe,從而獲得了LP以及多余的XWIN;
2.?攻擊者移除流動性,并兌換多余的XWIN進行回本;
3.?反復上述操作,不斷積累獎勵的XWIN;
4.最終,攻擊者取出積累的XWIN獎勵,全部兌換成BNB,離場。
事件復盤
看到這里,不難發現,此次xWinFinance被黑事件攻擊手法并不復雜;與其說此次事件是一次“黑客攻擊”,其實更像是一次“黑客薅羊毛”。
攻擊者利用了xWin?Finance的“獎勵機制”,不斷添加移除流動性,進而獲取獎勵。在正常情況下,由于用戶的添加量不大,因此獲取的收益可能會很小,甚至不足以支付手續費;但在巨量資金面前,獎勵就會變得異常高了。
因此,成都鏈安·安全團隊建議,項目方在日常的安全防護工作之中,除了要搭建起一整套健全的防范機制和風控系統以外,也應當注意核查項目自身的推廣手段和獎勵機制是否會存在一定漏洞,以防攻擊者借機開展攻擊,造成巨額損失
金色財經報道,據6月25日消息,薩爾瓦多國會當地時間周三批準了總統有關比特幣的提案,該國將成為世界首個將比特幣作為法定貨幣的國家.
1900/1/1 0:00:002021年6月21日,一則消息出現在人民銀行官網《人民銀行就虛擬貨幣交易炒作問題約談部分銀行和支付機構》,記者老友催稿,要求颯姐抓緊寫些個人觀點.
1900/1/1 0:00:00原文標題:《為什么說不用太擔心比特幣算力大跌?》原文作者:AlexThorn,GalaxyDigital企業范圍研究負責人前天,即2021年6月27日,是過去十年中比特幣區塊出塊速度最慢的一天.
1900/1/1 0:00:00作為比特幣的忠實擁躉,有“牛市女皇”稱號的CathieWood的確做到了不離不棄。眼下,以比特幣為首的加密貨幣仿若過街老鼠,是全球監管機構的眼中釘,也讓投資者叫苦不迭.
1900/1/1 0:00:00普遍觀點認為,本輪加密資產牛市根本推送原因是全球量化寬松,但由于目前各國貨幣政策預期收緊,短期利空消息不斷,加密市場接連下挫,比特幣“四面楚歌”.
1900/1/1 0:00:00對于許多投資者而言,比特幣代表了一種新的、令人興奮的、令人向往的價值存儲。比特幣成為價值存儲的潛力為其贏得了“黃金2.0”和“數字黃金”的標簽。在一些方面,比特幣是黃金作為價值儲存手段的升級版.
1900/1/1 0:00:00