事件概覽
北京時間6月25日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,基于幣安智能鏈的鏈上DeFi協議xWinFinance遭到“閃電貸攻擊”。據統計,xWinFinance代幣24小時跌幅達近90%。
成都鏈安·安全團隊第一時間介入分析,針對xWinFinance被黑事件啟動安全應急響應。經由分析,xWinFinance被黑事件頗具“代表性”及“典型性”,有必要針對攻擊流程進行披露,以起警示作用。攻擊者通過“閃電貸”套出原始資金,并重復攻擊步驟,最終完成獲利,成功“薅羊毛”。
DEUS:DEI攻擊者已退還BSC鏈上約107萬美元資產:5月7日消息,DeFi協議DEUS發推特確認稱,DEI攻擊者地址之一(0xdf610228開頭)已經將1,070,127枚Binance-PegDaiToken(價值約107萬美元)轉入DEUS團隊控制的BSC鏈上多簽地址。
此前報道,DEUS推出的穩定幣DEI昨日遭黑客攻擊,損失已超630萬美元,DEUS今日表示,如果資金被退回,他們將不會采取任何法律行動,20%的資金將作為漏洞賞金。[2023/5/7 14:48:07]
事件分析
慢霧:BXH于BSC鏈被盜的ETH、BTC類資產已全部跨鏈轉至相應鏈:11月3日消息,10月30日攻擊BXH的黑客(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)在洗幣過程中,多次使用了 AnySwap、PancakeSwap、Ellipsis 等兌換平臺,其中部分 ETH 代幣被兌換成 BTC。此外,黑客現已將 13304.6 ETH、642.88 BTCB 代幣從 BSC 鏈轉移到 ETH、BTC 鏈,目前,初始黑客獲利地址仍有 15546 BNB 和價值超 3376 萬美元的代幣。慢霧 AML 將持續監控被盜資金的轉移,拉黑攻擊者控制的所有錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。[2021/11/3 6:28:49]
首先,攻擊者利用“推薦人將獲得獎勵”的特殊機制,利用“閃電貸”多次添加和移除流動性,從而獲得了巨量獎勵,以進行獲利。
BSC上借貸協議Ploutoz Finance遭到攻擊,黑客獲利約36.5萬美元:11月23日消息,據PeckShield消息,幣安智能鏈上借貸協議Ploutoz Finance遭到攻擊,黑客獲利約36.5萬美元,而協議的損失更大。由于$DOP的價格預言機操縱使得本次黑客攻擊成為可能。具體來說,黑客利用被操縱的$DOP作為抵押品借入其他資產,包括$CAKE、$ETH、$BTCB等。隨后黑客通過ParaSwap和PancakeSwap交易為BNB后轉入混幣協議 @TornadoCash,值得注意的是,此次攻擊的初始資金也是從混幣協議 @TornadoCash轉出來的。[2021/11/23 22:12:11]
下圖是攻擊流程的一個循環:
1.?攻擊者首先利用閃電貸借來的巨量BNB并調用Subscribe,從而獲得了LP以及多余的XWIN;
2.?攻擊者移除流動性,并兌換多余的XWIN進行回本;
3.?反復上述操作,不斷積累獎勵的XWIN;
4.最終,攻擊者取出積累的XWIN獎勵,全部兌換成BNB,離場。
事件復盤
看到這里,不難發現,此次xWinFinance被黑事件攻擊手法并不復雜;與其說此次事件是一次“黑客攻擊”,其實更像是一次“黑客薅羊毛”。
攻擊者利用了xWin?Finance的“獎勵機制”,不斷添加移除流動性,進而獲取獎勵。在正常情況下,由于用戶的添加量不大,因此獲取的收益可能會很小,甚至不足以支付手續費;但在巨量資金面前,獎勵就會變得異常高了。
因此,成都鏈安·安全團隊建議,項目方在日常的安全防護工作之中,除了要搭建起一整套健全的防范機制和風控系統以外,也應當注意核查項目自身的推廣手段和獎勵機制是否會存在一定漏洞,以防攻擊者借機開展攻擊,造成巨額損失
Tags:ANCWINXWINNANreflect.financeDarwinia NetworkXWIN幣Kush Finance
備受矚目的倫敦硬分叉升級于昨日在以太坊Ropsten測試網上線,而據watchtheburn.com的數據顯示,在短短24小時內,網絡已銷毀了8萬多ETH.
1900/1/1 0:00:00為響應中央打擊比特幣挖礦和交易的要求,最近兩周,各地政府和主管監管機構在集中出臺政策。2021年6月18日四川省有關部門下發通知要求立即停止向虛擬貨幣“挖礦”項目供電.
1900/1/1 0:00:00作為美國最受歡迎的交易所,Coinbase充當了數百萬美國人和他們數十億美元的法幣轉換到加密貨幣的橋梁。鑒于其巨大的影響力,當代幣在該平臺上上市時,該代幣的價格就會出現大幅飆升.
1900/1/1 0:00:001.為什么拉丁美洲是加密貨幣的沃土:聚焦巴西最近拉丁美洲國家對加密貨幣興趣激增,這是有充分理由的。該地區的許多國家都提供了適合加密項目的場景.
1900/1/1 0:00:00概要 1.?根據BlockResearch數據,在一個多月里,BTC哈希率里下降近50%。2.?背后的兩大原因是中國出臺挖礦打擊措施以及幣價下跌BTC哈希率,即挖掘加密貨幣總算力,在一個多月的時.
1900/1/1 0:00:00當中本聰在2009年發明比特幣時,我們開始設想將DeFi作為傳統銀行業的替代品。十多年后,我們開始看到,比特幣背后的技術可以被用來創造一個完全顛覆想象的互聯網——一個利用我們的集體計算能力、數據.
1900/1/1 0:00:00