BSC链上“闪电贷攻击”再袭 xWin Finance被薅羊毛事件简析

事件概览

北京时间6月25日，链必安-区块链安全态势感知平台舆情监测显示，基于币安智能链的链上DeFi协议xWinFinance遭到“闪电贷攻击”。据统计，xWinFinance代币24小时跌幅达近90%。

成都链安·安全团队第一时间介入分析，针对xWinFinance被黑事件启动安全应急响应。经由分析，xWinFinance被黑事件颇具“代表性”及“典型性”，有必要针对攻击流程进行披露，以起警示作用。攻击者通过“闪电贷”套出原始资金，并重复攻击步骤，最终完成获利，成功“薅羊毛”。

安全机构：BSC链上Cupid代币合约遭受闪电贷攻击分析:8月31日消息，据Beosin EagleEye平台监测显示，BSC链上Cupid代币合约遭受闪电贷攻击，Beosin安全团队分析发现，Cupid合约0x40c994299fb4449ddf471d0634738ea79c734919有一个奖励的逻辑漏洞，拥有USDT/VENUS的LP代币可以得到Cupid代币，攻击者利用闪电贷贷出USDT，购买VENUS代币，抵押后得到LP代币，把LP发到多个地址后通过调用被攻击合约的0xe98bfe1e()函数claim得到Cupid代币，获得Cupid代币后抛售获利78,623 USDT。[2022/8/31 13:00:41]

事件分析

BSC链上跨链桥 Logan Network将于1月24日20:00开始首期挖矿:据官方消息，BSC币安智能链上跨链桥 Logan Network将于1月24日20:00开始首期挖矿，用户可通过抵押相关资产以获取Logan Governance Token奖励。获取的Logan奖励可质押至分红池，获取额外的SLogan。

Logan通过与不同的生态系统平台合作，引导各生态系统的早期用户进行跨链流动，实现各个公链以及layer2之间的资产快速流动，将不同链上资产的流动性聚合起来，构建去中心化方式的跨链资产移转。为更多的生态用户提供服务，提供最优质的交易体验，敬请关注Logan官方渠道。[2022/1/24 9:09:38]

首先，攻击者利用“推荐人将获得奖励”的特殊机制，利用“闪电贷”多次添加和移除流动性，从而获得了巨量奖励，以进行获利。

JWAWA（吉娃娃）将于今晚20:00首发上线BSC:据官方消息，JWAWA（吉娃娃）将于5月11日20:00首发上线BSC，即将支持ETH、Heco、ZSC等多条公链上进行交互。

Jwawa是社区自治型通证，无私募，团队无预留，去中心化自发社区建设的实验。它是类似于Dogecoin的另一种meme代币。Jwawa是JIWAWA INU的原生代币，它将是第一个被去中心化交易所jwawaSwap上线并用于激励措施的代币。首次发行在BSC智能链，总量1000万亿，团队将于5月11日20:00前将全部Jwawa打入流动性资金池。[2021/5/11 21:49:17]

下图是攻击流程的一个循环：

1.?攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe，从而获得了LP以及多余的XWIN；

2.?攻击者移除流动性，并兑换多余的XWIN进行回本；

3.?反复上述操作，不断积累奖励的XWIN；

4.最终，攻击者取出积累的XWIN奖励，全部兑换成BNB，离场。

事件复盘

看到这里，不难发现，此次xWinFinance被黑事件攻击手法并不复杂；与其说此次事件是一次“黑客攻击”，其实更像是一次“黑客薅羊毛”。

攻击者利用了xWin?Finance的“奖励机制”，不断添加移除流动性，进而获取奖励。在正常情况下，由于用户的添加量不大，因此获取的收益可能会很小，甚至不足以支付手续费；但在巨量资金面前，奖励就会变得异常高了。

因此，成都链安·安全团队建议，项目方在日常的安全防护工作之中，除了要搭建起一整套健全的防范机制和风控系统以外，也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞，以防攻击者借机开展攻击，造成巨额损失

标签：WINXWINBSCANCWINDY币xWIN FinanceVeldoraBSCiTrust Governance Token

火必下载热门资讯