xWin Finance被黑事件分析概覽_Crust

一、事件概覽北京時間6月25日，鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示，基于幣安智能鏈的鏈上DeFi協議xWinFinance遭到“閃電貸攻擊”。據統計，xWinFinance代幣24小時跌幅達近90%。成都鏈安·安全團隊第一時間介入分析，針對xWinFinance被黑事件啟動安全應急響應。經由分析，xWinFinance被黑事件頗具“代表性”及“典型性”，有必要針對攻擊流程進行披露，以起警示作用。攻擊者通過“閃電貸”套出原始資金，并重復攻擊步驟，最終完成獲利，成功“薅羊毛”。

Crust Network 佑安：Crust將于5月進行Maxwell先行網測試:金色財經現場報道，4月23日，數御未來——2021數據與存儲產業峰會在成都舉辦。在會議現場，Crust Network PR 佑安介紹，crust致力于解決三個核心問題：證明、激勵、服務。

此外，佑安表示，以太坊以及COSMOS 的tendermint對于鏈的可制定化程度不高，對于一條需要頻繁交易且追求穩定性的應用鏈來說非常不友好。

而波卡生態有四大優勢包括1，波卡異構分片的概念是目前以太坊想解決的擴容問題；2，波卡生態內外的信息交互，不管是生態內，還是生態外，都可以通過轉接橋，或者是插線NP傳輸協議；3，高度可定制性；4，鏈上治理和生態升級。

佑安指出，這些優勢讓Crust選擇了波卡生態。不過，Crust雖然選擇了波卡生態，但crust項目是沒有以太坊波卡邊界的。

據佑安介紹，5月Crust將開啟第二階段測試（Maxwell先行網 ），將基于真實場景的存儲訂單對整個網絡的服務能力進行全方位的測試。Maxwell先行網與主網的規則機制完全相同，獎勵的CRU代幣也將是基于波卡鏈。[2021/4/23 20:51:16]

Crust Maxwell去中心化存儲市場已開放:據官方消息，北京時間2月28日，Crust Maxwell去中心化存儲市場正式開放，向用戶提供存儲訂單的交易。此次上線前的技術升級大幅優化了Maxwell預覽網的存儲效率。目前，已有1200個節點加入Maxwell預覽網。Crust開發團隊在其Crust Apps應用中集成對IPFS功能的支持，用戶可在Crust Apps的對應頁面上進行IPFS的相關操作。Crust提供了Web3生態系統的去中心化存儲網絡，支持包括IPFS在內的多種存儲層協議，為終端用戶帶來更快、更便宜、更強隱私性的去中心化存儲服務。[2021/3/1 18:02:40]

二、事件分析首先，攻擊者利用“推薦人將獲得獎勵”的特殊機制，利用“閃電貸”多次添加和移除流動性，從而獲得了巨量獎勵，以進行獲利。

比特幣核心開發者Greg Maxwell已從Blockstream的CTO職位離職:Blockstream官推發消息稱，該公司的CTO Greg Maxwell已經離職，稱他將專注于比特幣的發展。[2018/1/20]

下圖是攻擊流程的一個循環：攻擊者首先利用閃電貸借來的巨量BNB并調用Subscribe，從而獲得了LP以及多余的XWIN；

2.攻擊者移除流動性，并兌換多余的XWIN進行回本；3.反復上述操作，不斷積累獎勵的XWIN；4.最終，攻擊者取出積累的XWIN獎勵，全部兌換成BNB，離場。

三、事件復盤看到這里，不難發現，此次xWinFinance被黑事件攻擊手法并不復雜；與其說此次事件是一次“黑客攻擊”，其實更像是一次“黑客薅羊毛”。攻擊者利用了xWinFinance的“獎勵機制”，不斷添加移除流動性，進而獲取獎勵。在正常情況下，由于用戶的添加量不大，因此獲取的收益可能會很小，甚至不足以支付手續費；但在巨量資金面前，獎勵就會變得異常高了。因此，成都鏈安·安全團隊建議，項目方在日常的安全防護工作之中，除了要搭建起一整套健全的防范機制和風控系統以外，也應當注意核查項目自身的推廣手段和獎勵機制是否會存在一定漏洞，以防攻擊者借機開展攻擊，造成巨額損失。

Tags：CRUCrustUSTWINcrust幣挖礦教程Me Gustanewinu幣最新消息

PEPE幣