WIN:BSC鏈上“閃電貸攻擊”再襲 xWin Finance被薅羊毛事件簡析_win幣能漲到什么價格

北京時間6月25日，鏈必安-區塊鏈安全態勢感知平臺（Beosin-Eagle Eye）輿情監測顯示，基于幣安智能鏈（BSC）的鏈上DeFi協議xWin Finance遭到“閃電貸攻擊”。據統計，xWin Finance代幣（XWIN）24小時跌幅達近90%。

成都鏈安·安全團隊第一時間介入分析，針對xWin Finance被黑事件啟動安全應急響應。經由分析，xWin Finance被黑事件頗具“代表性”及“典型性”，有必要針對攻擊流程進行披露，以起警示作用。攻擊者通過“閃電貸”套出原始資金，并重復攻擊步驟，最終完成獲利，成功“薅羊毛”。

安全機構：BSC鏈上Cupid代幣合約遭受閃電貸攻擊分析:8月31日消息，據Beosin EagleEye平臺監測顯示，BSC鏈上Cupid代幣合約遭受閃電貸攻擊，Beosin安全團隊分析發現，Cupid合約0x40c994299fb4449ddf471d0634738ea79c734919有一個獎勵的邏輯漏洞，擁有USDT/VENUS的LP代幣可以得到Cupid代幣，攻擊者利用閃電貸貸出USDT，購買VENUS代幣，抵押后得到LP代幣，把LP發到多個地址后通過調用被攻擊合約的0xe98bfe1e()函數claim得到Cupid代幣，獲得Cupid代幣后拋售獲利78,623 USDT。[2022/8/31 13:00:41]

首先，攻擊者利用“推薦人將獲得獎勵”的特殊機制，利用“閃電貸”多次添加和移除流動性，從而獲得了巨量獎勵，以進行獲利。

RISE現已上線BSC生態鏈，同時在BKEX開放交易:據官方消息，RISE現已上線BSC生態鏈并已于上周上線BKEX。RISE 將傳統股票市場的回購方式帶到了加密貨幣中，代幣持有者不僅可以通過靜態獎勵獲益，還可以通過合同的回購過程獲益。作為回購過程的一部分，合同負責回購一些代幣，并在發生賣出時將其銷毀。

官方表示：RISE還制定了構建去中心化應用程序 (DApps) 的計劃，以解決當前市場的主要問題。屆時將上線EverOwn，EverLock也在開發計劃中，目的是改進當前的預售和流動性鎖定過程。[2021/6/27 0:10:03]

MDEX（BSC版）于4月9日16:40新增流動性挖礦LP:據MDEX.COM官方公告顯示，將于4月9日16:40（UTC+8）在每區塊挖礦總獎勵不變的情況下，新增流動性挖礦名單。新增名單如下：BTCB/BUSD、ETH/BUSD 、BETH/ETH 、LINK/BUSD、EOS/BUSD、UNI/BUSD、SUSHI/BUSD、BCH/BUSD、HMDX/USDT。

交易挖礦權重調整，具體細節以官網頁面展示為準。DAO管理開啟后，權重調整方案將交由社區投票決定。詳情見公告鏈接。[2021/4/9 20:02:02]

下圖是攻擊流程的一個循環：

1. 攻擊者首先利用閃電貸借來的巨量BNB并調用Subscribe，從而獲得了LP以及多余的XWIN（將向推薦人發放XWIN獎勵）；

2. 攻擊者移除流動性，并兌換多余的XWIN進行回本；

3. 反復上述操作，不斷積累獎勵的XWIN；

4. 最終，攻擊者取出積累的XWIN獎勵，全部兌換成BNB，離場。

看到這里，不難發現，此次xWin Finance被黑事件攻擊手法并不復雜；與其說此次事件是一次“黑客攻擊”，其實更像是一次“黑客薅羊毛”。

攻擊者利用了xWin Finance的“獎勵機制”，不斷添加移除流動性，進而獲取獎勵。在正常情況下，由于用戶的添加量不大，因此獲取的收益可能會很小，甚至不足以支付手續費；但在巨量資金面前，獎勵就會變得異常高了。

因此，成都鏈安·安全團隊建議，項目方在日常的安全防護工作之中，除了要搭建起一整套健全的防范機制和風控系統以外，也應當注意核查項目自身的推廣手段和獎勵機制是否會存在一定漏洞，以防攻擊者借機開展攻擊，造成巨額損失

Tags：WINXWINUSDBSCwin幣能漲到什么價格XWIN價格USDT幣下戴VBSC幣

BNB