XWIN:BSC链上“闪电贷攻击”再袭 xWin Finance被薅羊毛事件简析

北京时间6月25日，链必安-区块链安全态势感知平台（Beosin-Eagle Eye）舆情监测显示，基于币安智能链（BSC）的链上DeFi协议xWin Finance遭到“闪电贷攻击”。据统计，xWin Finance代币（XWIN）24小时跌幅达近90%。

成都链安·安全团队第一时间介入分析，针对xWin Finance被黑事件启动安全应急响应。经由分析，xWin Finance被黑事件颇具“代表性”及“典型性”，有必要针对攻击流程进行披露，以起警示作用。攻击者通过“闪电贷”套出原始资金，并重复攻击步骤，最终完成获利，成功“薅羊毛”。

BSC上DeFi100运营者投资者约3200万美元资金后跑路:5月23日消息，基于BSC构建的DeFi100是项目去中心化金融协议似乎是一个局，运营者已经取了投资者的钱后跑路。一名匿名分析师称，预计这笔资金高达3200万美元。（CoinDesk）[2021/5/23 22:33:29]

首先，攻击者利用“推荐人将获得奖励”的特殊机制，利用“闪电贷”多次添加和移除流动性，从而获得了巨量奖励，以进行获利。

C.L：AMM+技术能够帮助解决BSC上DeFi项目的流动性问题:4月7日晚20:00, LaunchZone C.L作客MXC抹茶社区分享了LaunchZone生态系统相关内容。C.L表示：“大多数BSC上发布的DeFi项目的问题是流动性问题和因此带来的价格滑点，而LaunchZone的诞生就是为了解决滑点的问题。LaunchZone能够在BSC的自动化做市商(AMM)中找到流动性最好的来匹配执行用户的命令。其技术来源于一种独特的机制，即Cross Liquidity Layer 2，也叫AMM+。能够将订单分成多个部分，并在不同的AMM中执行每个部分，以降低价格滑点的风险。”

据资料显示，LaunchZone是一个运行在币安智能链（BSC）上的以去中心化交易平台为主的生态系统。同时，MXC抹茶创新区已于4月7日上线BSCX。[2021/4/8 19:56:14]

MXC抹茶创新区今日17:00上线BSC.tools:据官方公告，MXC抹茶创新区将于3月17日17:00上线BSC.tools (TOOLS)，开放USDT交易，充值提现已开放。

资料显示，BSC.tools是一个去中心化金融（DeFi）仪表板，旨在通过币安智能链BSC增强交易经验，主要目标是为交易者和投资者提供监控BSC交易对和制定高级交易策略的可能性，而不必在各种非标准化平台和网站上搜索信息。[2021/3/17 18:52:49]

下图是攻击流程的一个循环：

1. 攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe，从而获得了LP以及多余的XWIN（将向推荐人发放XWIN奖励）；

2. 攻击者移除流动性，并兑换多余的XWIN进行回本；

3. 反复上述操作，不断积累奖励的XWIN；

4. 最终，攻击者取出积累的XWIN奖励，全部兑换成BNB，离场。

看到这里，不难发现，此次xWin Finance被黑事件攻击手法并不复杂；与其说此次事件是一次“黑客攻击”，其实更像是一次“黑客薅羊毛”。

攻击者利用了xWin Finance的“奖励机制”，不断添加移除流动性，进而获取奖励。在正常情况下，由于用户的添加量不大，因此获取的收益可能会很小，甚至不足以支付手续费；但在巨量资金面前，奖励就会变得异常高了。

因此，成都链安·安全团队建议，项目方在日常的安全防护工作之中，除了要搭建起一整套健全的防范机制和风控系统以外，也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞，以防攻击者借机开展攻击，造成巨额损失

标签：BSCWINXWINNCEBSC MemePadWingStepxWIN FinanceYFPRO Finance

DYDX热门资讯