WIN:BSC链上“闪电贷攻击”再袭 xWin Finance被薅羊毛事件简析_xWIN Finance

事件概览

北京时间6月25日，链必安-区块链安全态势感知平台舆情监测显示，基于币安智能链的链上DeFi协议xWinFinance遭到“闪电贷攻击”。据统计，xWinFinance代币24小时跌幅达近90%。

成都链安·安全团队第一时间介入分析，针对xWinFinance被黑事件启动安全应急响应。经由分析，xWinFinance被黑事件颇具“代表性”及“典型性”，有必要针对攻击流程进行披露，以起警示作用。攻击者通过“闪电贷”套出原始资金，并重复攻击步骤，最终完成获利，成功“薅羊毛”。

Web3内容平台Mirror推出NFT订阅铸造“Subscribe to Mint”功能:3月9日消息，Mirror官方宣布，该Web3内容平台已推出订阅铸造“Subscribe to Mint”功能，目前已在以太坊、Optimism和Polygon链上部署，旨在支持创作者和藏家之间的互动，新功能将有两个潜在用例：

1、创世Drop，Web3项目可以发布内容并与包含项目徽标或符号的收藏NFT配对，然后使用“Subscribe to Mint”通过内容更新和后续NFT投放与项目受众互动。

2、推出可收藏NFT系列，持有者可以完成铸造NFT并鼓励新用户注册成为订阅者以参与未来NFT投放。

据悉，“Subscribe to Mint”功能对创作者是完全免费的，创作者将获得所售NFT的100%收益。[2023/3/9 12:50:42]

事件分析

BXH笨小孩借贷协议正式登陆BSC链:据官方消息，DeFi平台BXH笨小孩10月25日正式上线借贷协议，支持存储&借贷币种：USDT、BUSD，更多借贷池后期陆续开启。

该借贷协议基于Compound协议修改，目前已上线BSC链。BXH笨小孩目标面向多链实现质押借贷，致力于成为一站式DeFi服务平台。[2021/10/25 20:55:09]

首先，攻击者利用“推荐人将获得奖励”的特殊机制，利用“闪电贷”多次添加和移除流动性，从而获得了巨量奖励，以进行获利。

MDEX.COM（HECO&BSC）流动性矿池DOGE/USDT总质押超2453万美金:据MDEX.COM官方数据显示，截止今日11：30，流动性矿池DOGE/USDT总质押超2453万美金，24小时交易额超4000万美金；流动性矿池USDT/SHIB总质押超398万美金，24小时交易额超966万美金。[2021/5/8 21:37:25]

下图是攻击流程的一个循环：

1.?攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe，从而获得了LP以及多余的XWIN；

2.?攻击者移除流动性，并兑换多余的XWIN进行回本；

3.?反复上述操作，不断积累奖励的XWIN；

4.最终，攻击者取出积累的XWIN奖励，全部兑换成BNB，离场。

事件复盘

看到这里，不难发现，此次xWinFinance被黑事件攻击手法并不复杂；与其说此次事件是一次“黑客攻击”，其实更像是一次“黑客薅羊毛”。

攻击者利用了xWin?Finance的“奖励机制”，不断添加移除流动性，进而获取奖励。在正常情况下，由于用户的添加量不大，因此获取的收益可能会很小，甚至不足以支付手续费；但在巨量资金面前，奖励就会变得异常高了。

因此，成都链安·安全团队建议，项目方在日常的安全防护工作之中，除了要搭建起一整套健全的防范机制和风控系统以外，也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞，以防攻击者借机开展攻击，造成巨额损失

标签：WINXWINBSCNFTSAFEWINxWIN FinanceMNTTBSC币NFTNetwork

狗狗币热门资讯