北京时间6月25日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,基于币安智能链(BSC)的链上DeFi协议xWin Finance遭到“闪电贷攻击”。据统计,xWin Finance代币(XWIN)24小时跌幅达近90%。
成都链安·安全团队第一时间介入分析,针对xWin Finance被黑事件启动安全应急响应。经由分析,xWin Finance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。
金色午报 | 11月24日午间重要动态一览:7:00-12:00关键词:ETH2.0、苏州、灰度、华尔街日报
1. ETH2.0存款合约进度达100% 创世区块将如约启动;
2. 苏州双十二数字人民币红包数量或约10万个;
3. 灰度BTC信托增持1202枚 ETH信托持仓增长1.15%;
4. 华尔街日报头版头条:BTC交易创纪录正吸引更多支持;
5. Uniswap延长流动性挖矿提议已进入共识检查阶段 反对率高达81.61%;
6. 委内瑞拉士兵将军队建筑改装为矿场开采比特币;
7. 日本财务大臣麻生太郎:需要密切关注央行数字货币的发展。[2020/11/24 21:54:36]
首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。
剑桥大学报告:企业区块链项目以金融服务为主且高度中心化:金色财经报道,剑桥大学的一项关于企业区块链的研究报告发现,企业区块链项目以金融服务为主,高度中心化且构建缓慢。通过分析67个正在运行的企业区块链网络,剑桥大学发现金融项目占43%。而且这些项目构建速度很慢,从概念验证到部署平均需要25个月的时间,而建造更大型的网络可能需要花费4年以上的时间。此外,研究还发现,企业区块链比公共领域的区块链更加中心化,这意味着它们仅需一个或几个节点就能够就新区块和现有链的内容达成共识,而无需成千上万的匿名节点和矿工来保护区块链。[2020/10/5]
下图是攻击流程的一个循环:
1. 攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN(将向推荐人发放XWIN奖励);
2. 攻击者移除流动性,并兑换多余的XWIN进行回本;
3. 反复上述操作,不断积累奖励的XWIN;
4. 最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。
看到这里,不难发现,此次xWin Finance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。
攻击者利用了xWin Finance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。
因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。