北京時間6月25日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,基于幣安智能鏈(BSC)的鏈上DeFi協議xWin Finance遭到“閃電貸攻擊”。據統計,xWin Finance代幣(XWIN)24小時跌幅達近90%。
成都鏈安·安全團隊第一時間介入分析,針對xWin Finance被黑事件啟動安全應急響應。經由分析,xWin Finance被黑事件頗具“代表性”及“典型性”,有必要針對攻擊流程進行披露,以起警示作用。攻擊者通過“閃電貸”套出原始資金,并重復攻擊步驟,最終完成獲利,成功“薅羊毛”。
SheepDex針對BSC鏈項目提出多重激勵計劃:據官方消息,SheepDex將為BSC鏈潛在項目提供激勵幫助該項目發展。將項目流動性添加到SheepDex,SheepDex將為項目提供交易挖礦、流動性挖礦以及手續費分成的三重獎勵給項目的用戶。通過SheepDex V3區間掛單的流動性聚合,能降低項目代幣交易滑點,穩定價格,提高資金利用率至數百倍。[2021/11/22 7:04:54]
首先,攻擊者利用“推薦人將獲得獎勵”的特殊機制,利用“閃電貸”多次添加和移除流動性,從而獲得了巨量獎勵,以進行獲利。
MDEX(BSC&HECO)進行流動性挖礦和交易挖礦權重調整:據MDEX官方公告,MDEX在每區塊挖礦總獎勵不變的情況下,將于2021年7月1日15:00(UTC+8)對流動性挖礦和交易挖礦獎勵權重進行調整。調整細節,均以官網頁面展示為準。DAO管理開啟后,權重調整方案將交由社區投票決定。具體細節見官方公告。[2021/7/1 0:19:45]
Doge Kaki已于5月10日將在BSC鏈上提供的初始流動性打入黑洞地址銷毀:據最新消息,Doge Kaki已于2021年5月10日將在BSC鏈上提供的初始流動性469041575.982Cake-LP打入黑洞地址銷毀。交易哈希:0xe7932c4c90f0046e7c252888077cae8a1f0328e5398a2984035a1b85ff7136be 。KAKI初始流動性增添10萬億KAKI,占總量的10%。KaKi目前持幣地址數超過25000。[2021/5/10 21:45:53]
下圖是攻擊流程的一個循環:
1. 攻擊者首先利用閃電貸借來的巨量BNB并調用Subscribe,從而獲得了LP以及多余的XWIN(將向推薦人發放XWIN獎勵);
2. 攻擊者移除流動性,并兌換多余的XWIN進行回本;
3. 反復上述操作,不斷積累獎勵的XWIN;
4. 最終,攻擊者取出積累的XWIN獎勵,全部兌換成BNB,離場。
看到這里,不難發現,此次xWin Finance被黑事件攻擊手法并不復雜;與其說此次事件是一次“黑客攻擊”,其實更像是一次“黑客薅羊毛”。
攻擊者利用了xWin Finance的“獎勵機制”,不斷添加移除流動性,進而獲取獎勵。在正常情況下,由于用戶的添加量不大,因此獲取的收益可能會很小,甚至不足以支付手續費;但在巨量資金面前,獎勵就會變得異常高了。
因此,成都鏈安·安全團隊建議,項目方在日常的安全防護工作之中,除了要搭建起一整套健全的防范機制和風控系統以外,也應當注意核查項目自身的推廣手段和獎勵機制是否會存在一定漏洞,以防攻擊者借機開展攻擊,造成巨額損失
根據銀保監會等五部門發布的《關于防范以“虛擬貨幣”“區塊鏈”名義進行非法集資的風險提示》,請讀者遵守所在地區法律法規,本文內容報道不對任何經營與投資活動推廣進行背書,請投資者提高風險防范意識.
1900/1/1 0:00:00"拜登政府「影子內閣」BlackRock 正在增加自己的「加密」話語權。"Pitchbook 近段時間的一組數據顯示,風險投資基金今年前半年已經向加密領域的公司投資了 170.
1900/1/1 0:00:00差不多三年前,寫過一篇文章《淺談你們根本不懂的區塊鏈游戲》,把站在那個時間點能想到的一些腦洞和思路,盡可能的梳理出來.
1900/1/1 0:00:00Delphi Digital 正在從以太坊殺入 Terra。在過去的幾年里,Delphi Digital 與 Aave、Synthetix、Axie 等 DeFi 協議密切合作,并為他們設計了經.
1900/1/1 0:00:00金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、礦業信息、項目動態、技術進展等行業動態。本文是其中的新聞周刊,帶您一覽本周區塊鏈行業大事.
1900/1/1 0:00:00金色財經訊,日前,交通運輸部辦公廳向遼寧、河北、天津、山東、江蘇、上海、浙江、安徽、福建、廣東、廣西、海南、重慶、湖北、江西省(區、市)交通運輸廳(局、委),招商局集團.
1900/1/1 0:00:00