事件概览
北京时间6月25日,链必安-区块链安全态势感知平台舆情监测显示,基于币安智能链的链上DeFi协议xWinFinance遭到“闪电贷攻击”。据统计,xWinFinance代币24小时跌幅达近90%。
成都链安·安全团队第一时间介入分析,针对xWinFinance被黑事件启动安全应急响应。经由分析,xWinFinance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。
BSCStation与去中心化身份协议SPACE ID达成合作:5月7日消息,多链Launchpad BSCStation与去中心化身份协议SPACE ID达成集成合作伙伴关系,将共同探索在BSCStation平台集成.bnb、.eth、.arb域名。[2023/5/7 14:48:31]
事件分析
首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。
币安将于今日晚些时候销毁5000万枚未使用的BSC链上的DAI:1月4日消息,币安在官方推特上表示,今天晚些时候币安将销毁5000万枚未使用的DAI(BSC),这是在BNB链上维持必要的包装资产供应的标准程序。[2023/1/4 9:51:45]
FTX黑客将约3万枚BNB兑换为ETH和BSC-USD,并跨链至以太坊网络:11月17日消息,据派盾预警监测数据,被标记为FTX Accounts Drainer 1的FTX黑客地址已经收到约6,079.22枚ETH(约724万美元)。该地址目前持有241,471.67枚ETH(约2.87亿美元),成为第31大ETH持有人。
此外,FTX Accounts Drainer地址在BSC上持有44,288.93枚BNB(约1170万美元)和约168万枚DAI。FTX Accounts Drainer 0xd73aC地址已将约3万枚BNB兑换为2,001.5枚ETH和约500万枚BSC-USD,并将约1,900枚ETH和约499.9万枚BSC-USD跨链至以太坊网络。[2022/11/17 13:17:39]
下图是攻击流程的一个循环:
1.?攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN;
2.?攻击者移除流动性,并兑换多余的XWIN进行回本;
3.?反复上述操作,不断积累奖励的XWIN;
4.最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。
事件复盘
看到这里,不难发现,此次xWinFinance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。
攻击者利用了xWin?Finance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。
因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。