BSC:BSC链上“闪电贷攻击”再袭 xWin Finance被薅羊毛事件简析

事件概览

北京时间6月25日，链必安-区块链安全态势感知平台舆情监测显示，基于币安智能链的链上DeFi协议xWinFinance遭到“闪电贷攻击”。据统计，xWinFinance代币24小时跌幅达近90%。

成都链安·安全团队第一时间介入分析，针对xWinFinance被黑事件启动安全应急响应。经由分析，xWinFinance被黑事件颇具“代表性”及“典型性”，有必要针对攻击流程进行披露，以起警示作用。攻击者通过“闪电贷”套出原始资金，并重复攻击步骤，最终完成获利，成功“薅羊毛”。

数据：Solana、Polygon、BSC等网络TVL创近半年以来新低:3月13日消息，据DeFi Llama最新数据，Solana、Polygon等多条Layer1/Layer2网络TVL创造近半年新低，其中Solana创造去年9月8日以来新低，目前为68.3亿美元；Polygon创造去年5月17日以来新低，目前为35.4亿美元；Heco创造去年1月25日以来新低，目前为5.4亿美元。

此外，以太坊主网在3月8日创造了8月12日以来的新低，BSC在3月7日创造了去年4月7日以来新低。[2022/3/14 13:54:26]

事件分析

去中心化借贷平台Channels将上线BSC币安智能链:据官方消息，去中心化借贷平台Channels将于今日正式上线币安智能链（BSC），CAN代币总量不变。

据悉，Channels 是主打用户资产安全性的新一代DeFi借贷协议，已上线火币生态链 Heco。[2021/8/24 22:33:52]

首先，攻击者利用“推荐人将获得奖励”的特殊机制，利用“闪电贷”多次添加和移除流动性，从而获得了巨量奖励，以进行获利。

BSCX（LaunchZone）将上线MXC抹茶，并开启新币挖矿:据官方公告，4月7日16:00，BSCX（LaunchZone）将上线MXC抹茶创新区，开放USDT交易，充值、提现已开启。4月5日—8日，用户还可于网页端，或APP首页中部“MX DeFi”处，使用USDT、MX、BTC、ETH挖矿BSCX。目前，新币挖矿已开启。资料显示，LaunchZone是运行在币安智能链 (BSC) 上的DeFi应用，持有BSCX的用户可参与流动性挖矿、IDO（LaunchpadX）以及LaunchZone生态系统等链上应用。[2021/4/5 19:47:02]

下图是攻击流程的一个循环：

1.?攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe，从而获得了LP以及多余的XWIN；

2.?攻击者移除流动性，并兑换多余的XWIN进行回本；

3.?反复上述操作，不断积累奖励的XWIN；

4.最终，攻击者取出积累的XWIN奖励，全部兑换成BNB，离场。

事件复盘

看到这里，不难发现，此次xWinFinance被黑事件攻击手法并不复杂；与其说此次事件是一次“黑客攻击”，其实更像是一次“黑客薅羊毛”。

攻击者利用了xWin?Finance的“奖励机制”，不断添加移除流动性，进而获取奖励。在正常情况下，由于用户的添加量不大，因此获取的收益可能会很小，甚至不足以支付手续费；但在巨量资金面前，奖励就会变得异常高了。

因此，成都链安·安全团队建议，项目方在日常的安全防护工作之中，除了要搭建起一整套健全的防范机制和风控系统以外，也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞，以防攻击者借机开展攻击，造成巨额损失

标签：BSCXWINWINNANBSCSxWIN FinanceGWINK价格Sovi.finance

NEAR热门资讯