BSC鏈上“閃電貸攻擊”再襲 xWin Finance被薅羊毛事件簡析

2021-06-25 21:06:37

事件概覽

北京時間6月25日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,基於幣安智能鏈(BSC)的鏈上DeFi協議xWin Finance遭到“閃電貸攻擊”。據統計,xWin Finance代幣(XWIN)24小時跌幅達近90%

成都鏈安·安全團隊第一時間介入分析,針對xWin Finance被黑事件啓動安全應急響應。經由分析,xWin Finance被黑事件頗具“代表性”“典型性”,有必要針對攻擊流程進行披露,以起警示作用。攻擊者通過“閃電貸”套出原始資金,並重復攻擊步驟,最終完成獲利,成功“薅羊毛”。

事件分析

首先,攻擊者利用“推薦人將獲得獎勵”的特殊機制,利用“閃電貸”多次添加和移除流動性,從而獲得了巨量獎勵,以進行獲利。

BSC鏈上“閃電貸攻擊”再襲 xWin Finance被薅羊毛事件簡析

下圖是攻擊流程的一個循環:

1. 攻擊者首先利用閃電貸借來的巨量BNB並調用Subscribe,從而獲得了LP以及多余的XWIN(將向推薦人發放XWIN獎勵);

BSC鏈上“閃電貸攻擊”再襲 xWin Finance被薅羊毛事件簡析

2. 攻擊者移除流動性,並兌換多余的XWIN進行回本;

3. 反復上述操作,不斷積累獎勵的XWIN;

4. 最終,攻擊者取出積累的XWIN獎勵,全部兌換成BNB,離場。

BSC鏈上“閃電貸攻擊”再襲 xWin Finance被薅羊毛事件簡析

事件復盤

看到這裏,不難發現,此次xWin Finance被黑事件攻擊手法並不復雜;與其說此次事件是一次“黑客攻擊”,其實更像是一次“黑客薅羊毛”

攻擊者利用了xWin Finance的“獎勵機制”,不斷添加移除流動性,進而獲取獎勵。在正常情況下,由於用戶的添加量不大,因此獲取的收益可能會很小,甚至不足以支付手續費;但在巨量資金面前,獎勵就會變得異常高了。

因此,成都鏈安·安全團隊建議,項目方在日常的安全防護工作之中,除了要搭建起一整套健全的防範機制和風控系統以外,也應當注意核查項目自身的推廣手段和獎勵機制是否會存在一定漏洞,以防攻擊者借機开展攻擊,造成巨額損失

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

逆市拉盤,一文速覽Depin協議Grass為何暴漲

在加密市場近期震蕩中,Grass代幣($GRASS)以其獨特的表現引發了市場的廣泛關注。尤其是在過...

coincaso
6 1天前

從大虧8.68億到協議重生:Ethena的困境與破局

引言Ethena是本輪周期少有的現象級DeFi項目,其代幣上线後流通市值一度超過20億美金(對應F...

coincaso
13 3天前

GLIF代幣空投:Filecoin最大DeFi協議开啓一億枚代幣的分發!

Glif是Filecoin上最大的DeFi協議,正在推出其原生代幣。總計將向用戶空投1億枚GLIF...

coincaso
22 6天前

牛熊轉換:加密貨幣的PvP與PvE模式解析

“畢業後,你會有一段短暫的時間來進行超高風險投資以獲得精英地位,否則你就會終身成為工資奴隸。” -...

coincaso
25 6天前

LRT 之爭:在劇烈波動中賺取 AVS 獎勵

前言比特幣重回 7W,行情波動加劇,再質押重回投資者視野,幣圈真正賺錢的時候,一定是在低風險高收益...

coincaso
26 1周前

World Liberty Financial能否改變穩定幣遊戲規則?

特朗普加密項目“World Liberty”計劃發行穩定幣,消息人士稱據悉,特朗普加密項目計劃推出...

coincaso
25 1周前