El "ataque de préstamo relámpago" en la cadena BSC volvió a atacar el incidente de xWin Finance.

El 25 de junio, hora de Beijing, el monitoreo de la opinión pública de Lianbian-Blockchain Security Situational Awareness Platform (Beosin-Eagle Eye) mostró que xWin Finance, un protocolo DeFi en cadena basado en Binance Smart Chain (BSC), se vio afectado por un " ataque de préstamo relámpago". . Según las estadísticas, el token xWin Finance (XWIN) cayó casi un 90% en 24 horas.

El equipo de seguridad de Chengdu Lianan Security intervino de inmediato en el análisis y lanzó una respuesta de emergencia de seguridad al incidente de piratería de xWin Finance. Después del análisis, el evento de piratería de xWin Finance es bastante "representativo" y "típico", y es necesario divulgar el proceso de ataque para que sirva como advertencia. El atacante usó el "préstamo relámpago" para retirar los fondos originales, y repitió los pasos del ataque, y finalmente completó la ganancia y "barrió la lana" con éxito.

La plataforma benéfica cifrada The Giving Block lanzó un servicio personalizado de grandes donaciones para personas de alto patrimonio neto: según las noticias del 16 de diciembre, The Giving Block es una plataforma en línea que permite a las organizaciones sin fines de lucro y organizaciones benéficas aceptar donaciones de activos digitales. La plataforma ha lanzado un servicio personalizado para grandes donantes de criptomonedas.

En un comunicado el miércoles, The Giving Block dijo que se asoció con la empresa de impuestos sobre criptomonedas Taxbit, la firma de contabilidad con sede en Nueva York Friedman LLP y Ren, dirigida a personas, instituciones y asesores que buscan reducir el riesgo fiscal al donar criptomonedas.

Pat Duffy, cofundador de The Giving Block, dijo que Private Client Services simplifica el proceso de donación existente, lo que permite que "los donantes de alto valor hagan grandes donaciones de forma rápida y segura a sus organizaciones benéficas favoritas mientras reducen su factura de impuestos". /12/16 7:43:34]

En primer lugar, el atacante usó el mecanismo especial de "los remitentes obtendrán recompensas" para agregar y eliminar liquidez varias veces a través de "préstamos rápidos", obteniendo así enormes recompensas por ganancias.

Borderless Capital estableció un fondo de $10 millones para la minería y el staking de HNT: Según las noticias del 7 de julio, Borderless Capital ha establecido un fondo de $10 millones para la minería y el staking de HNT. Uno de los objetivos del fondo es crear un Wrapped HNT en Algorand para que HNT pueda usarse en aplicaciones DeFi y CeFi.

Los participantes en el fondo incluyen al exdirector de operaciones de Twitter, Adam Bain, y al cofundador de Polygon, Sandeep Nailwal. (CoinDesk)[2021/7/7 0:34:30]

La siguiente figura es un ciclo del proceso de ataque:

1.  El atacante primero usa la gran cantidad de BNB prestada por el préstamo flash y llama a Subscribe, obteniendo así LP y XWIN redundantes (las recompensas de XWIN se otorgarán a los recomendadores);

2. El atacante elimina la liquidez y canjea el exceso de XWIN a cambio;

3. Repita las operaciones anteriores para acumular continuamente XWIN recompensados;

4. Finalmente, el atacante retira las recompensas XWIN acumuladas, las convierte todas en BNB y se va.

Al ver esto, no es difícil encontrar que el método de ataque del incidente de piratería de xWin Finance no es complicado, es más como un "vellón de piratas informáticos" que un "ataque de piratería".

El atacante aprovechó el "mecanismo de recompensas" de xWin Finance para agregar y eliminar liquidez continuamente para obtener recompensas. En circunstancias normales, debido a que la cantidad de usuarios agregados no es grande, los ingresos obtenidos pueden ser pequeños, o incluso no suficientes para pagar la tarifa de manejo, pero ante grandes cantidades de fondos, las recompensas serán extremadamente altas.

Por lo tanto, el equipo de seguridad de Chengdu Lianan sugiere que en el trabajo diario de protección de seguridad, además de construir un conjunto completo de mecanismos sólidos de prevención y sistemas de control de riesgos, la parte del proyecto también debe prestar atención a verificar si los métodos de promoción y los mecanismos de recompensa del proyecto sí mismo Hay ciertas lagunas para evitar que los atacantes aprovechen la oportunidad de atacar y causar grandes pérdidas

Tags：

Mejor intercambio de Ethereum