一、事件概览北京时间6月25日,链必安-区块链安全态势感知平台舆情监测显示,基于币安智能链的链上DeFi协议xWinFinance遭到“闪电贷攻击”。据统计,xWinFinance代币24小时跌幅达近90%。成都链安·安全团队第一时间介入分析,针对xWinFinance被黑事件启动安全应急响应。经由分析,xWinFinance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。
Crust Network宣布Maxwell预览网络将进行新一轮升级:4月15日消息,波卡生态去中心化存储项目Crust Network宣布,Maxwell预览网络将进行新一轮的升级,主要更新如下:
1. 优化链的同步性和稳定性;
2. 当一个节点降低保证率时,这个时代的保证率被认为是100%;
3. 工作负载报告的惩罚时间减少到8小时,但惩罚基于最新的未报告时间;
4. 降低基本文件存储费用,并将文件存储时间延长至6个月;
5. 减少从预览网络转移回1个CRU的ERC20费用;
6. 启动CRU18的预览网络交换(仅作为主网的记录功能,而不是供应或质押);
7. 修复了某些情况下“验证未应用”的错误。[2021/4/15 20:23:10]
XWC重启交易 开盘最高涨幅逾370%:据FUBT实时行情显示,XWC今日在FUBT平台重启交易10分钟内最高涨幅逾370%,现报0.14FBT,涨幅72%,请注意控制风险。据悉,XWC由一个专门的支持者团体驱动,没有一个人能独自控制。据社区成员介绍,XWC钱包维护升级后,XWC流通性公正透明,并且在稳定性、交互性、界面及综合体验方面都有了较大提升。[2020/3/18]
二、事件分析首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。
动态 | PundiX将在8月12日的XWallet系统升级中添加Binance Chain Wallet:据AMBCrypto报道,8月11日,手机加密钱包XWallet背后的公司PundiX labs在推特发布系统升级通知。XWallet系统升级计划于8月12日进行,将在10点30分至14点30分之间持续4个小时。建议用户在维护期间避免通过钱包进行任何交易,如果升级需要的时间超过预期的四个小时,将提前通知社区。 预定的系统升级将为XWallet带来某些变化,包括添加Binance Chain Wallet,以及对PundiX开放平台上列出的Crypto Gift代币的支持。其原生项目f(X)是去中心化互联网的一种形式,目前在主网站上有一个部分,但即将到来的升级将f(X)卡更新为完全成熟的移动应用程序。[2019/8/12]
下图是攻击流程的一个循环:攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN;
2.攻击者移除流动性,并兑换多余的XWIN进行回本;3.反复上述操作,不断积累奖励的XWIN;4.最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。
三、事件复盘看到这里,不难发现,此次xWinFinance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。攻击者利用了xWinFinance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。