XWIN:BSC链上“闪电贷攻击”再袭 xWin Finance被薅羊毛事件简析_BSCS价格

北京时间6月25日，链必安-区块链安全态势感知平台（Beosin-Eagle Eye）舆情监测显示，基于币安智能链（BSC）的链上DeFi协议xWin Finance遭到“闪电贷攻击”。据统计，xWin Finance代币（XWIN）24小时跌幅达近90%。

成都链安·安全团队第一时间介入分析，针对xWin Finance被黑事件启动安全应急响应。经由分析，xWin Finance被黑事件颇具“代表性”及“典型性”，有必要针对攻击流程进行披露，以起警示作用。攻击者通过“闪电贷”套出原始资金，并重复攻击步骤，最终完成获利，成功“薅羊毛”。

慢雾:BSC链上项目BXH遭受攻击分析:10月30日消息，据慢雾区情报，2021年10月30日，币安智能链上(BSC)去中心化交易协议BXH项目遭受攻击，被盗约1.3亿美金。经慢雾安全团队分析，黑客于27日13时(UTC)部署了攻击合约0x8877，接着在29日08时(UTC)BXH项目管理钱包地址0x5614通过grantRole赋予攻击合约0x8877管理权限。30日03时(UTC)攻击者通过攻击合约0x8877的权限从BXH策略池资金库中将其管理的资产转出。30日04时(UTC)0x5614暂停了资金库。因此BXH本次被盗是由于其管理权限被恶意的修改，导致攻击者利用此权限转移了项目资产。[2021/10/30 6:22:02]

首先，攻击者利用“推荐人将获得奖励”的特殊机制，利用“闪电贷”多次添加和移除流动性，从而获得了巨量奖励，以进行获利。

O3 Swap报告跨链交易存在问题，BSC和Polygon上共3.35亿美元资产被转移至两个地址:8月10日消息，在跨链聚合协议O3 Swap（O3）电报群中，工作人员表示，有用户报告跨链交易问题，包括跨链池O3 Hub存取款问题，并建议用户在问题解决之后再进行交易。

数据显示，O3 Swap（O3）跨链池出现资产大额转移，币安智能链和Polygon上共3.35亿美元资产被转移至两个地址。大约两小时内，币安智能链上6613枚BNB、87603671枚USDC、26629枚ETH、1023枚BTCB、32107854枚BUSD、888888888枚BabyLoserCoin被转至0x0D6e开头的地址，除BabyLoserCoin外总价值超2.5亿美元。此外，Polygon上85089719枚USDC被转移至0x5dc36开头的地址。[2021/8/10 1:46:41]

Telos（TLOS）桥接BSC，并上线PancakeSwap:高容量区块链网络Telos今日宣布将桥接BSC，并上线PancakeSwap，以启动BSC用户对Telos网络本地资产TLOS的访问。此前3月份，Telos上线Uniswap，与以太坊桥接。（Cyrptoninjas）[2021/4/22 20:46:31]

下图是攻击流程的一个循环：

1. 攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe，从而获得了LP以及多余的XWIN（将向推荐人发放XWIN奖励）；

2. 攻击者移除流动性，并兑换多余的XWIN进行回本；

3. 反复上述操作，不断积累奖励的XWIN；

4. 最终，攻击者取出积累的XWIN奖励，全部兑换成BNB，离场。

看到这里，不难发现，此次xWin Finance被黑事件攻击手法并不复杂；与其说此次事件是一次“黑客攻击”，其实更像是一次“黑客薅羊毛”。

攻击者利用了xWin Finance的“奖励机制”，不断添加移除流动性，进而获取奖励。在正常情况下，由于用户的添加量不大，因此获取的收益可能会很小，甚至不足以支付手续费；但在巨量资金面前，奖励就会变得异常高了。

因此，成都链安·安全团队建议，项目方在日常的安全防护工作之中，除了要搭建起一整套健全的防范机制和风控系统以外，也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞，以防攻击者借机开展攻击，造成巨额损失

标签：XWINWINANCBSCXWIN币WINSYffi FinanceBSCS价格

比特币价格今日行情热门资讯