BSC鏈上“閃電貸攻擊”再襲 xWin Finance被薅羊毛事件簡析_WIN:FIN

事件概覽

北京時間6月25日，鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示，基于幣安智能鏈的鏈上DeFi協議xWinFinance遭到“閃電貸攻擊”。據統計，xWinFinance代幣24小時跌幅達近90%。

成都鏈安·安全團隊第一時間介入分析，針對xWinFinance被黑事件啟動安全應急響應。經由分析，xWinFinance被黑事件頗具“代表性”及“典型性”，有必要針對攻擊流程進行披露，以起警示作用。攻擊者通過“閃電貸”套出原始資金，并重復攻擊步驟，最終完成獲利，成功“薅羊毛”。

MDEX.COM（BSC版）即將開啟聯合挖礦和新增流動性挖礦:據MDEX官方公告消息，MDEX.COM（BSC版）將于2021年6月30日20:00 (UTC+8)新增流動性挖礦名單：RABBIT/BUSD和HGT/USDT，并開啟與RABBIT聯合挖礦活動。同時，在每區塊挖礦總獎勵不變的情況下，對流動性挖礦權重進行調整。RABBIT聯合挖礦活動細則：流動性挖礦質押RABBIT/BUSD挖MDX，活動周期14天，挖礦獎勵為價值10萬BUSD等值的MDX；董事會質押MDX挖RABBIT，活動周期14天，挖礦獎勵為價值10萬BUSD等值的RABBIT。具體每區塊產出數量，均以官網頁面展示為準。[2021/6/30 0:16:25]

事件分析

BSC上收益聚合器Eleven Finance與Nerve相關的機槍池遭閃電貸攻擊:基于幣安智能鏈（BSC）的穩定幣交易平臺 Nerve Finance 發推表示，收益聚合器 Eleven Finance 中與 Nerve 相關的機槍池或遭閃電貸攻擊。Nerve Finance 團隊表示，Nerve Finance 資金安全。[2021/6/23 23:58:45]

首先，攻擊者利用“推薦人將獲得獎勵”的特殊機制，利用“閃電貸”多次添加和移除流動性，從而獲得了巨量獎勵，以進行獲利。

CoinWind(BSC)將于6月17日19:00(SGT)新增COW策略DOT單幣質押:據官方消息，DeFi智能金融平臺CoinWind(BSC)將于今日19:00(SGT)新增COW策略DOT單幣質押，首期額度共計20萬枚。

據了解，CoinWind是一個DeFi智能金融平臺，通過合約自動將質押的幣種進行撮合配對，配合對沖無常損失策略，將用戶收益最大化，有效解決了用戶單幣種質押收益低、LP質押無常損失大等風險問題。[2021/6/17 23:44:45]

下圖是攻擊流程的一個循環：

1.?攻擊者首先利用閃電貸借來的巨量BNB并調用Subscribe，從而獲得了LP以及多余的XWIN；

2.?攻擊者移除流動性，并兌換多余的XWIN進行回本；

3.?反復上述操作，不斷積累獎勵的XWIN；

4.最終，攻擊者取出積累的XWIN獎勵，全部兌換成BNB，離場。

事件復盤

看到這里，不難發現，此次xWinFinance被黑事件攻擊手法并不復雜；與其說此次事件是一次“黑客攻擊”，其實更像是一次“黑客薅羊毛”。

攻擊者利用了xWin?Finance的“獎勵機制”，不斷添加移除流動性，進而獲取獎勵。在正常情況下，由于用戶的添加量不大，因此獲取的收益可能會很小，甚至不足以支付手續費；但在巨量資金面前，獎勵就會變得異常高了。

因此，成都鏈安·安全團隊建議，項目方在日常的安全防護工作之中，除了要搭建起一整套健全的防范機制和風控系統以外，也應當注意核查項目自身的推廣手段和獎勵機制是否會存在一定漏洞，以防攻擊者借機開展攻擊，造成巨額損失

Tags：WINFINAANCFINETWInfinityBlur FinanceTranche FinancePera Finance

幣安交易所app下載