XWIN:BSC鏈上“閃電貸攻擊”再襲 xWin Finance被薅羊毛事件簡析_XWIN幣

事件概覽

北京時間6月25日，鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示，基于幣安智能鏈的鏈上DeFi協議xWinFinance遭到“閃電貸攻擊”。據統計，xWinFinance代幣24小時跌幅達近90%。

成都鏈安·安全團隊第一時間介入分析，針對xWinFinance被黑事件啟動安全應急響應。經由分析，xWinFinance被黑事件頗具“代表性”及“典型性”，有必要針對攻擊流程進行披露，以起警示作用。攻擊者通過“閃電貸”套出原始資金，并重復攻擊步驟，最終完成獲利，成功“薅羊毛”。

FTX將暫停Arbitrum、SOL和BSC上的ETH存款和取款:9月5日消息，FTX 今日宣布，為準備即將到來的以太坊合并，FTX 將在以下時間線暫停 Arbitrum One、Solana 和 Binance Smart Chain 區塊鏈上的 ETH 存取款，并在合并完成且網絡穩定之前重新開放存取款：Arbitrum One ETH：2022年9月7日00:00UTC；Solana（Wormhole）ETH：2022年9月15日00:00UTC；BSC ETH：2022年9月15日00:00UTC。[2022/9/5 13:09:21]

事件分析

去中心化借貸平臺Channels將上線BSC幣安智能鏈:據官方消息，去中心化借貸平臺Channels將于今日正式上線幣安智能鏈（BSC），CAN代幣總量不變。

據悉，Channels 是主打用戶資產安全性的新一代DeFi借貸協議，已上線火幣生態鏈 Heco。[2021/8/24 22:33:52]

首先，攻擊者利用“推薦人將獲得獎勵”的特殊機制，利用“閃電貸”多次添加和移除流動性，從而獲得了巨量獎勵，以進行獲利。

O3 Swap報告跨鏈交易存在問題，BSC和Polygon上共3.35億美元資產被轉移至兩個地址:8月10日消息，在跨鏈聚合協議O3 Swap（O3）電報群中，工作人員表示，有用戶報告跨鏈交易問題，包括跨鏈池O3 Hub存取款問題，并建議用戶在問題解決之后再進行交易。

數據顯示，O3 Swap（O3）跨鏈池出現資產大額轉移，幣安智能鏈和Polygon上共3.35億美元資產被轉移至兩個地址。大約兩小時內，幣安智能鏈上6613枚BNB、87603671枚USDC、26629枚ETH、1023枚BTCB、32107854枚BUSD、888888888枚BabyLoserCoin被轉至0x0D6e開頭的地址，除BabyLoserCoin外總價值超2.5億美元。此外，Polygon上85089719枚USDC被轉移至0x5dc36開頭的地址。[2021/8/10 1:46:41]

下圖是攻擊流程的一個循環：

1.?攻擊者首先利用閃電貸借來的巨量BNB并調用Subscribe，從而獲得了LP以及多余的XWIN；

2.?攻擊者移除流動性，并兌換多余的XWIN進行回本；

3.?反復上述操作，不斷積累獎勵的XWIN；

4.最終，攻擊者取出積累的XWIN獎勵，全部兌換成BNB，離場。

事件復盤

看到這里，不難發現，此次xWinFinance被黑事件攻擊手法并不復雜；與其說此次事件是一次“黑客攻擊”，其實更像是一次“黑客薅羊毛”。

攻擊者利用了xWin?Finance的“獎勵機制”，不斷添加移除流動性，進而獲取獎勵。在正常情況下，由于用戶的添加量不大，因此獲取的收益可能會很小，甚至不足以支付手續費；但在巨量資金面前，獎勵就會變得異常高了。

因此，成都鏈安·安全團隊建議，項目方在日常的安全防護工作之中，除了要搭建起一整套健全的防范機制和風控系統以外，也應當注意核查項目自身的推廣手段和獎勵機制是否會存在一定漏洞，以防攻擊者借機開展攻擊，造成巨額損失

Tags：WINXWINNANANCWINEXWIN幣Norse FinanceGoldyearn.finance

ETH