BSC:BSC链上“闪电贷攻击”再袭 xWin Finance被薅羊毛事件简析

事件概览

北京时间6月25日,链必安-区块链安全态势感知平台舆情监测显示,基于币安智能链的链上DeFi协议xWinFinance遭到“闪电贷攻击”。据统计,xWinFinance代币24小时跌幅达近90%。

成都链安·安全团队第一时间介入分析,针对xWinFinance被黑事件启动安全应急响应。经由分析,xWinFinance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。

pNetwork攻击事后分析报告:黑客尝试对多个pToken桥进行攻击,仅对pBTC-on-BSC攻击成功:9月22日消息,跨链协议pNetwork针对此前攻击事件致277枚BTC被盗发布分析报告称,pNetwork系统遭到黑客攻击,该黑客对多个pToken网桥进行了攻击,包括pBTC-on-BSC、TLOS-on-BSC、PNT-on-BSC、pBTC-on-ETH、TLOS-on-ETH和pSAFEMOON-on-ETH,不过,黑客仅在pBTC-on-BSC跨链桥上攻击成功,并从pBTC-on-BSC抵押品中窃取了277枚BTC,其他pToken网桥不受影响且资金安全。另外,由于已将黑客地址报告给交易所,所以被盗资金当前仍然在黑客BTC地址上,未发生过转移。

pNetwork目前正在为受此次攻击影响的用户制定一种赔偿方案,还将为白帽引入漏洞赏金计划。pNetwork表示,在重新启动跨链桥之前,正在针对所有跨链桥详细审查类似的潜在漏洞,当前已重启pBTC-on-EOS、pBTC-on-Telos、pLTC-on-EOS、pUOS-on-Ultra跨链桥。[2021/9/22 16:56:55]

事件分析

MDEX与Poly Network达成战略合作,共建Heco/ETH/BSC跨链桥:MDEX与跨链互操作性协议Poly Network达成战略合作,双方将共建Heco/ETH/BSC跨链桥。用户可通过MDEX Bridge实现资产在火币生态链Heco、以太坊和币安智能链BSC之间快速迁移。

MDEX是全球交易量最大的去中心化交易协议,交易量远超所有DEX总和,位列CoinMarketCap、CoinGecko DEX排行榜第一。[2021/4/6 19:49:16]

首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。

MX接入币安智能链BSC,拓展BSC链上应用场景:据官方消息,MXC抹茶与币安智能链BSC达成深度合作,MXC抹茶平台通证MX将作为跨链资产接入币安智能链BSC,拓展BSC链上借贷、流动性挖矿、DEX交易等场景。同时,MXC抹茶还将上线BSC资产专区,上线更多BSC链上资产。未来,双方还将围绕BSC与MX,拓展更多合作的可能与场景。

MX是MXC抹茶平台唯一通证,币币及ETF利润100%销毁MX,目前已实现手续费抵扣、项目投票续期、打新抽签加成、MX DeFi挖矿质押等使用场景。[2021/2/22 17:38:36]

下图是攻击流程的一个循环:

1.?攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN;

2.?攻击者移除流动性,并兑换多余的XWIN进行回本;

3.?反复上述操作,不断积累奖励的XWIN;

4.最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。

事件复盘

看到这里,不难发现,此次xWinFinance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。

攻击者利用了xWin?Finance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。

因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:93ms0-1:192ms