NFI:xWin Finance被黑事件分析概覽_WIN

一、事件概覽北京時間6月25日，鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示，基于幣安智能鏈的鏈上DeFi協議xWinFinance遭到“閃電貸攻擊”。據統計，xWinFinance代幣24小時跌幅達近90%。成都鏈安·安全團隊第一時間介入分析，針對xWinFinance被黑事件啟動安全應急響應。經由分析，xWinFinance被黑事件頗具“代表性”及“典型性”，有必要針對攻擊流程進行披露，以起警示作用。攻擊者通過“閃電貸”套出原始資金，并重復攻擊步驟，最終完成獲利，成功“薅羊毛”。

DeFi錢包Ambire支持使用WALLET、xWALLET支付Gas費:據官方消息，DeFi錢包Ambire近日宣布，支持使用WALLET、xWALLET代幣支付Gas費用。

此外，Ambire推出為期三周（從4月1日開始）的Gas費折扣活動。[2022/4/4 14:03:46]

Crust Network宣布Maxwell預覽網絡將進行新一輪升級:4月15日消息，波卡生態去中心化存儲項目Crust Network宣布，Maxwell預覽網絡將進行新一輪的升級，主要更新如下：

1. 優化鏈的同步性和穩定性；

2. 當一個節點降低保證率時，這個時代的保證率被認為是100％；

3. 工作負載報告的懲罰時間減少到8小時，但懲罰基于最新的未報告時間；

4. 降低基本文件存儲費用，并將文件存儲時間延長至6個月；

5. 減少從預覽網絡轉移回1個CRU的ERC20費用；

6. 啟動CRU18的預覽網絡交換（僅作為主網的記錄功能，而不是供應或質押）；

7. 修復了某些情況下“驗證未應用”的錯誤。[2021/4/15 20:23:10]

二、事件分析首先，攻擊者利用“推薦人將獲得獎勵”的特殊機制，利用“閃電貸”多次添加和移除流動性，從而獲得了巨量獎勵，以進行獲利。

聲音 | Maxwell Gold：比特幣波動性約為美元的15倍，不具備替代黃金或成為避險資產的能力:據cngoldzone消息，Aberdeen Standard Investments投資策略總監Maxwell Gold在最近的一次采訪中表示，多年來黃金的低波動性和穩定上漲使其成為一個有吸引力的長期財富儲備。而比特幣的波動性雖然對投機性投資者具有吸引力，但并不能使其成為有效的貨幣或避險資產。Maxwell Gold指出比特幣的波動性大約是美元的15倍，波動性比歐元高12倍，波動性比黃金高7倍，波動性比石油高3倍，這是金融市場中最不可預測的商品。將黃金與比特幣進行比較實際上是將蘋果與橙子進行比較，不能用一種資產替代另一種資產。比特幣仍然是最重要的數字貨幣，但在金融市場上仍然沒有多大用處，央行仍將持有黃金作為重要的儲備資產。[2019/5/30]

下圖是攻擊流程的一個循環：攻擊者首先利用閃電貸借來的巨量BNB并調用Subscribe，從而獲得了LP以及多余的XWIN；

2.攻擊者移除流動性，并兌換多余的XWIN進行回本；3.反復上述操作，不斷積累獎勵的XWIN；4.最終，攻擊者取出積累的XWIN獎勵，全部兌換成BNB，離場。

三、事件復盤看到這里，不難發現，此次xWinFinance被黑事件攻擊手法并不復雜；與其說此次事件是一次“黑客攻擊”，其實更像是一次“黑客薅羊毛”。攻擊者利用了xWinFinance的“獎勵機制”，不斷添加移除流動性，進而獲取獎勵。在正常情況下，由于用戶的添加量不大，因此獲取的收益可能會很小，甚至不足以支付手續費；但在巨量資金面前，獎勵就會變得異常高了。因此，成都鏈安·安全團隊建議，項目方在日常的安全防護工作之中，除了要搭建起一整套健全的防范機制和風控系統以外，也應當注意核查項目自身的推廣手段和獎勵機制是否會存在一定漏洞，以防攻擊者借機開展攻擊，造成巨額損失。

Tags：WINXWINNFIINFIWINGXWIN幣Infinity Protocol BSC

LTC