BSC链上“闪电贷攻击”再袭! | xWin Finance被薅羊毛事件简析

时间:2021-07-05 18:59来源:www.meaoch.com作者:未知点击:

导读:
扫描关注公众号

看到这里,不难发现,此次xWinFinance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。攻击者借助了xWinFinance的“奖励机制”,不断添加移除流动性,进而获得奖励。在正常状况下,因为用户的添加量不大,因此获得的收益可能会非常小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。

4.最后,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。

成都链安·安全团队第一时间介入剖析,针对xWinFinance被黑事件启动安全应对响应。经由剖析,xWinFinance被黑事件颇具“代表性”及“典型性”,有必要针对攻击步骤进行披露,以起警示用途。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最后完成获利,成功“薅羊毛”。

第一,攻击者借助“推荐人将获得奖励”的特殊机制,借助“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。

1、事件概览

1.攻击者第一借助闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP与多余的XWIN;

下图是攻击步骤的一个循环:

因此,成都链安·安全团队建议,项目方在平时的安全防护工作之中,除去要搭建起一整套完善的防范机制和风控系统以外,也应当注意核查项目自己的竞价方法和奖励机制会不会存在肯定漏洞,以防攻击者借机拓展攻击,导致巨额损失。

3、事件复盘

北京时间6月25日,链必安-区块链安全态势感知平台舆情监测显示,基于Binance智能链的链上去中心化的金融协议xWinFinance遭到“闪电贷攻击”。据统计,xWinFinance代币24小时跌幅达近90%。

2、事件剖析

3.反复上述操作,不断积累奖励的XWIN;

2.攻击者移除流动性,并兑换多余的XWIN进行回本;

相关文章
推荐文章

热门标签

区块链入门教程_区块链技术攻略_区块链资料汇总_币圈网

Copyright © 2002-2021 币圈网 (http://yzycqj.com) 网站地图 TAG标签 备案号:

声明: 本站文章均来自互联网,不代表本站观点 如有异议 请与本站联系 本站为非赢利性网站