YOU:xWin Finance被黑事件分析概览

一、事件概览北京时间6月25日,链必安-区块链安全态势感知平台舆情监测显示,基于币安智能链的链上DeFi协议xWinFinance遭到“闪电贷攻击”。据统计,xWinFinance代币24小时跌幅达近90%。成都链安·安全团队第一时间介入分析,针对xWinFinance被黑事件启动安全应急响应。经由分析,xWinFinance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。

DeFi钱包Ambire支持使用WALLET、xWALLET支付Gas费:据官方消息,DeFi钱包Ambire近日宣布,支持使用WALLET、xWALLET代币支付Gas费用。

此外,Ambire推出为期三周(从4月1日开始)的Gas费折扣活动。[2022/4/4 14:03:46]

YouSwap新增BREW/YOU,XWG/YOU流动性挖矿:据官方消息,YouSwap将于9月3日18:00(UTC+8)于BSC链开拓区新增开启BREW/YOU,XWG/YOU流动性挖矿,用户可以通过质押BREW/YOU LP挖BREW,YOU ,质押XWG/YOU LP挖XWG,YOU。

X World Games是一个建立在币安智能链的去中心化游戏生态系统。玩家和创作者可以通过各种创新卡牌获得XWG(昵称:小乌龟)代币。

Cafeswap是Binance Smart Chain上的挖矿和质押平台,由团队和社区推动。

截至9月3日13:00,YouSwap累计交易总额达131,582,781 USDT,TVL达1.43亿美金,累计挖矿总产值2,352,912USDT。[2021/9/3 22:57:24]

二、事件分析首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。

比特币核心开发者Greg Maxwell已从Blockstream的CTO职位离职:Blockstream官推发消息称,该公司的CTO Greg Maxwell已经离职,称他将专注于比特币的发展。[2018/1/20]

下图是攻击流程的一个循环:攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN;

2.攻击者移除流动性,并兑换多余的XWIN进行回本;3.反复上述操作,不断积累奖励的XWIN;4.最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。

三、事件复盘看到这里,不难发现,此次xWinFinance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。攻击者利用了xWinFinance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

比特币交易所GOD:NFT有哪些社会价值?

本文来自NFTLabs,星球日报经授权转载。目录NFT的价值导向-艺术品买卖-真实性证明-稀缺性保护-虚拟物品证明-新工作-新经济-平行世界NFT如何助力慈善事业刺激捐赠-品牌和身份-互惠性慈善.

USDC区块链:下一波技术浪潮下,科技公司该当如何

导读:智能手机、云计算等科技革命的出现,改变了许多行业。在这些革命出现后,首当其冲的当属科技行业本身。区块链也是如此,随着区块链技术的应用越来越广,它将再次改变许多行业.

BNBTPS:六月IDO第四弹,6个热门项目即将上线

整理|秦晓峰编辑|郝方舟出品|Odaily星球日报 上周,被矿工视为最后「希望」的四川也开始全面清退矿场,算力出海已成必然。受国内多项强监管政策影响,过去一周市场情绪低落,比特币也再创短期新低.

[0:15ms0-0:803ms