WIN:BSC鏈上“閃電貸攻擊”再襲 xWin Finance被薅羊毛事件簡析

北京時間6月25日，鏈必安-區塊鏈安全態勢感知平臺（Beosin-Eagle Eye）輿情監測顯示，基于幣安智能鏈（BSC）的鏈上DeFi協議xWin Finance遭到“閃電貸攻擊”。據統計，xWin Finance代幣（XWIN）24小時跌幅達近90%。

成都鏈安·安全團隊第一時間介入分析，針對xWin Finance被黑事件啟動安全應急響應。經由分析，xWin Finance被黑事件頗具“代表性”及“典型性”，有必要針對攻擊流程進行披露，以起警示作用。攻擊者通過“閃電貸”套出原始資金，并重復攻擊步驟，最終完成獲利，成功“薅羊毛”。

MDEX（BSC&HECO）聯合挖礦和流動性挖礦相關事項調整:據官方消息，MDEX在每區塊挖礦總獎勵不變的情況下，將于7月14日20:00（UTC+8）新增流動性挖礦名單WAR/USDT（HECO）、TUSD/BUSD(BSC)，移除流動性挖礦名單WAR/HT(HECO)，并進行流動性挖礦權重調整。同時，開啟與TUSD聯合挖礦活動，與TUSD聯合挖礦活動細則如下（BSC）：質押TUSD/BUSD挖MDX，活動周期14天，挖礦獎勵為價值10萬U等值的MDX；質押MDX挖TUSD，活動周期14天，挖礦獎勵為價值10萬U等值的TUSD。具體每區塊產出數量，均以官網頁面展示為準。如有調整，將通過后續公告告知。DAO管理開啟后，權重調整方案將交由社區投票決定。詳情見官方公告。[2021/7/14 0:51:12]

首先，攻擊者利用“推薦人將獲得獎勵”的特殊機制，利用“閃電貸”多次添加和移除流動性，從而獲得了巨量獎勵，以進行獲利。

dFuture將上線BSC鏈FIL/USDT合約交易:去中心化衍生品交易所dFuture將于2021年4月26日17:00(GMT+8)上線BSC鏈的FIL/USDT合約交易。

dFuture 是由 MIX 集團旗下 Mix Labs 打造的去中心化衍生品交易協議，采用QCAMM做市商協議，具有零滑點、高交易深度、零無償損失的特點。[2021/4/26 20:59:00]

MDEX.COM將于4月8日20:00（UTC+8）開啟BSC流動性挖礦及交易挖礦:根據官方消息，MDEX.COM將于4月8日20:00（UTC+8）開啟BSC流動性挖礦及交易挖礦，用戶可于4月8日15:00（UTC+8）開始進行單幣質押及流動性挖礦LP質押，此時段并無質押獎勵。用戶可在流動性挖礦及交易挖礦啟動后，在官方展示頁面查看挖礦幣種。

4月8日19:30--4月18日19:30期間，MDEX將為MDX/HMDX、USDT/HUSD提供初始流動性，MDX/HMDX流動性礦池LP分別提供10萬枚MDX及10萬枚HMDX，USDT/HUSD流動性礦池LP分別提供1萬枚MDX等值USDT及1萬枚MDX等值HUSDT，MDEX團隊提供MDX/HMDX初始流動性將不參與挖礦獎勵。

MDEX部署BSC后，平臺代幣MDX的總供應量仍約為10億枚。[2021/4/8 19:58:39]

下圖是攻擊流程的一個循環：

1. 攻擊者首先利用閃電貸借來的巨量BNB并調用Subscribe，從而獲得了LP以及多余的XWIN（將向推薦人發放XWIN獎勵）；

2. 攻擊者移除流動性，并兌換多余的XWIN進行回本；

3. 反復上述操作，不斷積累獎勵的XWIN；

4. 最終，攻擊者取出積累的XWIN獎勵，全部兌換成BNB，離場。

看到這里，不難發現，此次xWin Finance被黑事件攻擊手法并不復雜；與其說此次事件是一次“黑客攻擊”，其實更像是一次“黑客薅羊毛”。

攻擊者利用了xWin Finance的“獎勵機制”，不斷添加移除流動性，進而獲取獎勵。在正常情況下，由于用戶的添加量不大，因此獲取的收益可能會很小，甚至不足以支付手續費；但在巨量資金面前，獎勵就會變得異常高了。

因此，成都鏈安·安全團隊建議，項目方在日常的安全防護工作之中，除了要搭建起一整套健全的防范機制和風控系統以外，也應當注意核查項目自身的推廣手段和獎勵機制是否會存在一定漏洞，以防攻擊者借機開展攻擊，造成巨額損失

Tags：USDMDXXWINWINusdm幣是什什么穩定幣MDX幣有投資價值嗎xWIN Finance

MEXC