NAN:BSC鏈上“閃電貸攻擊”再襲 xWin Finance被薅羊毛事件簡析_XWIN

北京時間6月25日，鏈必安-區塊鏈安全態勢感知平臺（Beosin-Eagle Eye）輿情監測顯示，基于幣安智能鏈（BSC）的鏈上DeFi協議xWin Finance遭到“閃電貸攻擊”。據統計，xWin Finance代幣（XWIN）24小時跌幅達近90%。

成都鏈安·安全團隊第一時間介入分析，針對xWin Finance被黑事件啟動安全應急響應。經由分析，xWin Finance被黑事件頗具“代表性”及“典型性”，有必要針對攻擊流程進行披露，以起警示作用。攻擊者通過“閃電貸”套出原始資金，并重復攻擊步驟，最終完成獲利，成功“薅羊毛”。

Poloniex暫停對BSC網絡上Stablecoin支持:金色財經報道，加密貨幣交易所Poloniex宣布，從11月24日起，將停止BSC網絡上穩定幣的存取款功能。其中包括USDT、USDC、TUSD和BUSD。[2022/11/25 8:06:26]

首先，攻擊者利用“推薦人將獲得獎勵”的特殊機制，利用“閃電貸”多次添加和移除流動性，從而獲得了巨量獎勵，以進行獲利。

基于BSC的Arbix Finance協議被CertiK標記為Rug Pull:區塊鏈安全公司CertiK已將基于Binance Smart Chain的流動性挖礦協議Arbix Finance標記為“Rug Pull”（拉地毯）項目。根據CertiK的事件分析，Arbix Finance項目顯示了太多的危險信號。CertiK稱：“ARBX合約只有所有者功能的mint()，1000萬個ARBX代幣被鑄造到了8個地址”。CertiK還確認有450萬個ARBX被鑄造到一個地址，之后“450萬個鑄造的代幣被丟棄。”另一個危險信號是1000萬美元的用戶資金。這筆資金在存入后被定向到未經驗證的池中，黑客最終獲得了所有訪問權限，耗盡了全部1000萬美元的資產。（Coingape）[2022/1/6 8:27:48]

DeFIL 2.0即將登陸幣安智能鏈BSC:據官方消息，Filecoin去中心化金融服務平臺DeFIL 2.0將于2021年9月1日11時正式上線幣安智能鏈BSC，并同步開啟所有功能。為了更好地加強filst的市場影響力，經社區建議，DFL產出分配將會做出相應的調整，調整后20%的DFL產出獎勵給存FIL的用戶；20%獎勵給Pancake上FILST-USDT流動性提供者；20%獎勵給Pancake上eFIL-FILST流動性提供者；20%獎勵給Pancake上DFL-USDT流動性提供者；10%給到社區激勵；5%歸屬于基金會；5%歸屬于技術團隊。[2021/8/31 22:49:04]

下圖是攻擊流程的一個循環：

1. 攻擊者首先利用閃電貸借來的巨量BNB并調用Subscribe，從而獲得了LP以及多余的XWIN（將向推薦人發放XWIN獎勵）；

2. 攻擊者移除流動性，并兌換多余的XWIN進行回本；

3. 反復上述操作，不斷積累獎勵的XWIN；

4. 最終，攻擊者取出積累的XWIN獎勵，全部兌換成BNB，離場。

看到這里，不難發現，此次xWin Finance被黑事件攻擊手法并不復雜；與其說此次事件是一次“黑客攻擊”，其實更像是一次“黑客薅羊毛”。

攻擊者利用了xWin Finance的“獎勵機制”，不斷添加移除流動性，進而獲取獎勵。在正常情況下，由于用戶的添加量不大，因此獲取的收益可能會很小，甚至不足以支付手續費；但在巨量資金面前，獎勵就會變得異常高了。

因此，成都鏈安·安全團隊建議，項目方在日常的安全防護工作之中，除了要搭建起一整套健全的防范機制和風控系統以外，也應當注意核查項目自身的推廣手段和獎勵機制是否會存在一定漏洞，以防攻擊者借機開展攻擊，造成巨額損失

Tags：ANCWINXWINNANTomYumGoong FinanceNEWINUXWIN幣banana幣可靠嗎

ICP