XWIN:BSC链上“闪电贷攻击”再袭 xWin Finance被薅羊毛事件简析

事件概览

北京时间6月25日，链必安-区块链安全态势感知平台舆情监测显示，基于币安智能链的链上DeFi协议xWinFinance遭到“闪电贷攻击”。据统计，xWinFinance代币24小时跌幅达近90%。

成都链安·安全团队第一时间介入分析，针对xWinFinance被黑事件启动安全应急响应。经由分析，xWinFinance被黑事件颇具“代表性”及“典型性”，有必要针对攻击流程进行披露，以起警示作用。攻击者通过“闪电贷”套出原始资金，并重复攻击步骤，最终完成获利，成功“薅羊毛”。

SHAB已上线BSC链持仓地址已突破20000:SHAB（Sharpei沙皮狗）已上线BSC生态链，根据BSCscan最新数据显示，SHAB持仓地址已突破20000，并在持续增长。

据了解，SHAB（沙皮狗）是由DOGE与SHIB社区爱好者创立的新型MEME通证，SHAB总发行量为1000,000,000,000,000，无预售，无团队预留。[2021/6/12 23:32:46]

事件分析

首先，攻击者利用“推荐人将获得奖励”的特殊机制，利用“闪电贷”多次添加和移除流动性，从而获得了巨量奖励，以进行获利。

BSC链上自动做市商BurgerSwap再遭闪电贷攻击:6月5日凌晨消息，PeckShield派盾预警显示，BSC链上自动做市商BurgerSwap再次遭到闪电贷攻击，致使Dekbox ($DEK) 价格大幅下跌。[2021/6/5 23:14:01]

RiceQuant将于3月10日上线火币生态链Heco和币安智能链BSC:3月6日消息，基于生态治理代币质押借贷场景的金融服务协议RiceQuant即将于3月10日上线火币生态链Heco主网和币安智能链BSC主网。交易者可以使用不同的质押借贷产品进行倍数挖矿。RiceQuant将以3月9日为区块快照时间，对火币生态链Heco上Mdex流动性提供者前5000名和币安智能链BSC上流动性提供者前5000名，各随机选取500名进行空投。RiceQuant已开启全球社区IDO白名单报名活动，于3月10日正式启动IDO，届时用户可登陆领取空投。

据公开消息，该项目2020年开始开发，创始主创成员来自欧洲，为早期以太坊社区参与者，致力于提升治理代币资金利用效率和治理权资源优化配置。RiceQuant将成为同步在Heco和BSC登陆亮相的金融协议。该项目已经过Hacken.io的安全审计服务。[2021/3/6 18:20:55]

下图是攻击流程的一个循环：

1.?攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe，从而获得了LP以及多余的XWIN；

2.?攻击者移除流动性，并兑换多余的XWIN进行回本；

3.?反复上述操作，不断积累奖励的XWIN；

4.最终，攻击者取出积累的XWIN奖励，全部兑换成BNB，离场。

事件复盘

看到这里，不难发现，此次xWinFinance被黑事件攻击手法并不复杂；与其说此次事件是一次“黑客攻击”，其实更像是一次“黑客薅羊毛”。

攻击者利用了xWin?Finance的“奖励机制”，不断添加移除流动性，进而获取奖励。在正常情况下，由于用户的添加量不大，因此获取的收益可能会很小，甚至不足以支付手续费；但在巨量资金面前，奖励就会变得异常高了。

因此，成都链安·安全团队建议，项目方在日常的安全防护工作之中，除了要搭建起一整套健全的防范机制和风控系统以外，也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞，以防攻击者借机开展攻击，造成巨额损失

标签：XWINWINBSCNCEXWIN币newinu币上线VBSC价格Vince Chain

世界币热门资讯