一、事件概览北京时间6月25日,链必安-区块链安全态势感知平台舆情监测显示,基于币安智能链的链上DeFi协议xWinFinance遭到“闪电贷攻击”。据统计,xWinFinance代币24小时跌幅达近90%。成都链安·安全团队第一时间介入分析,针对xWinFinance被黑事件启动安全应急响应。经由分析,xWinFinance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。
DeFi协议xWin将对受闪电贷攻击影响用户进行1:1 xWIN代币补偿:官方消息,BSC链上DeFi协议xWin公布补偿计划,将根据闪电贷攻击前协议中的质押的数量余额,对质押xWIN代币和参与xWIN挖矿的XWIN-BNB LP代币用户,进行1:1 xWIN代币补偿。但是,xWin表示正在考虑最多一年的锁定期。此外,xWin表示正在探索为xWIN协议提供保险的可能性。xWIN目前还正努力在日本以外的海外交易所上市。最后,xWin团队正在制定xWIN代币销毁计划,目前还没有就金额大小达成决定。
此前消息,BSC链上DeFi协议xWin发布闪电贷攻击总结,共计损失1007枚BNB。[2021/6/27 0:09:54]
BSC链上DeFi协议xWin发布闪电贷攻击总结,共计损失1007枚BNB:官方消息,BSC链上DeFi协议xWin发布此次遭遇闪电贷攻击的总结,BSC链上区块编号为8589726和8589740。据介绍,xWIN协议中有4种方式可获得xWIN代币奖励:xWIN推荐系统、xWIN奖励系统、xWIN资金库所有者/经理奖励系统、以及xWIN资金库代币挖矿和质押。xWin团队决定终止推荐费系统、奖励费系统、经历奖励费系统。此前推荐地址中累积的所有奖励费和推荐费仍然可以提取。
此前消息,PeckShield派盾预警显示,BSC链上DeFi协议xWin遭到闪电贷攻击。[2021/6/27 0:09:41]
二、事件分析首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。
Crust Maxwell预览网将进行技术升级 2月26日10:30暂停接受存储订单:2月25日,Crust官方发文宣布Crust去中心存储市场将正式开放,为保证市场启动,Crust Maxwell预览网将进行技术升级。Crust Maxwell预览网将于2月26日10:30在区块439,240处停止接受存储订单,而sWorker将于2月26日15:30在区块442,240初进行A/B在线升级。升级将于2021年2月28日15:30区块471040初完成,届时存储市场将全面开放。官方提醒,节点在升级期间尽量确保机器处于正常运行状态,不要进行任何操作。[2021/2/25 17:52:37]
下图是攻击流程的一个循环:攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN;
2.攻击者移除流动性,并兑换多余的XWIN进行回本;3.反复上述操作,不断积累奖励的XWIN;4.最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。
三、事件复盘看到这里,不难发现,此次xWinFinance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。攻击者利用了xWinFinance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失。
LeCube是NFT创作社区,也被称为区块链上的乐高。用户可以用「块」在LeCube中进行自由拼搭,创造出完全基于区块链的、拥有可追溯版权的NFT资产.
北京时间2021年6月23日24:00,YFX.COM全球大使R.L.坐客OEC全球官方社区,与社区成员进行了一场精彩、详实的AMA.
热点解读——香港00后音乐人郑卓熙在Openlake首发音乐和视频NFT香港新生代实力派音乐人郑卓熙日前通过Openlake首发音乐和视频NFT.
本文来自NFTLabs,星球日报经授权转载。目录 NFT的价值导向 -艺术品买卖-真实性证明-稀缺性保护-虚拟物品证明-新工作-新经济-平行世界NFT如何助力慈善事业刺激捐赠-品牌和身份-互惠性.
作者|秦晓峰编辑|郝方舟出品|Odaily星球日报 据官方消息,首部关于以太坊的纪录片《以太坊:无限花园》已于日前完成众筹.
头条 跨链资产桥ChainSwap遭黑客攻击官方消息,跨链资产桥ChainSwap昨日宣布遭到攻击并表示,已对攻击前的持有者和LPs进行了快照.