事件概览
北京时间6月25日,链必安-区块链安全态势感知平台舆情监测显示,基于币安智能链的链上DeFi协议xWinFinance遭到“闪电贷攻击”。据统计,xWinFinance代币24小时跌幅达近90%。
成都链安·安全团队第一时间介入分析,针对xWinFinance被黑事件启动安全应急响应。经由分析,xWinFinance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。
BSCFA宣布UDOGE获得BSC STAR白名单:据官方消息,BSCFA官方渠道宣布,UKADOGE成为BSC STAR白名单项目。
BSC STAR是BSCFA(公益基金组织)发布的一个明星项目评选,主要挑选GameFi/NFT/社交/元宇宙类项目进行评比,最终评选冠军项目将获得300W美金的天使轮融资。
据悉,UKADOGE是BSC链上的一款Meme代币,目前主要做NFT&GameFi方向,其GameFi DAPP平台即将上线。[2022/5/27 3:45:19]
事件分析
MDEX(BSC版)新增流动性挖矿:据官方消息,MDEX.COM将于4月20日20:00(UTC+8)在每区块挖矿总奖励不变的情况下,新增流动性挖矿名单,并进行流动性挖矿权重调整。新增流动性挖矿名单如下: WATCH/BUSD 、VBSWAP/BUSD、FRONT/BUSD、BRY/USDT、DOGE/USDT,流动性挖矿调整细节以官网公告为准。DAO管理开启后,权重调整方案将交由社区投票决定。详情请见公告链接。[2021/4/20 20:38:54]
首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。
BiKi宣布支持USDT BTC ETH等5个币种在HECO、BSC网络的充提合并:据官方消息,为支持HECO、BSC生态,降低用户充提成本,满足用户的资产跨链需求,BiKi平台已支持USDT、BTC、ETH、HT、BNB在HECO、BSC网络的充提合并,充提地址已更新,请用户在充提时选择对应网络并复制新的地址。BiKi平台也将开通更多优质币种在HECO、BSC网络的充提合并。
BiKi成立于2018年,是一家全球性的数字资产交易服务和区块链技术提供商,旗下包括币币、合约、网格、杠杆、余币宝、抵押借贷、ETF、流动性挖矿等业务。拥有强大的技术团队和运营团队,致力于为全球用户提供安全、稳定、高效的服务,目前已在新加坡、韩国、越南、日本、俄罗斯、土耳其等多个国家地区设有运营中心,注册用户超350万。[2021/3/18 18:57:18]
下图是攻击流程的一个循环:
1.?攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN;
2.?攻击者移除流动性,并兑换多余的XWIN进行回本;
3.?反复上述操作,不断积累奖励的XWIN;
4.最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。
事件复盘
看到这里,不难发现,此次xWinFinance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。
攻击者利用了xWin?Finance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。
因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。