浅析xwin金融被骗事件

活动概述

北京时间6月25日消息，联必安区块链安全态势感知平台（beosin eagle eye）舆情监测显示，基于硬币安全智能链（BSC）的链上DeFi协议xwin finance“遭闪电贷款攻击”。据统计，xwin金融代币（xwin）24小时内下跌近90%。

成都联安·安全团队首次参与分析，并针对xwin finance遭黑客攻击事件启动安全应急响应。通过分析，xwin金融黑幕事件具有相当的“代表性”和“典性”，因此有必要对攻击过程进行披露，以起到警示作用。攻击者利用“闪电贷款”获取原始资金，并重复攻击步骤，最终完成获利，成功“收毛”。

事件分析

首先，攻击者利用“推荐人将获得奖励”的特殊机制，利用“闪贷”多次添加和移除流动性，从而获得巨额的利润奖励。

下图显示了攻击过程的循环

1；攻击者首先使用lightning loan借入的巨额BNB并呼叫subscribe，从而获得LP和额外的xwin（xwin奖励将给予推荐人）；

2；攻击者移除流动性并赎回多余的xwin以收回本金；

3；重复上述操作，持续累积xwin奖励；

4.最后，攻击者取出累积的xwin奖励，将其转换为BNB，然后离开。

事件恢复

不难发现，xwin finance的攻击方法并不复杂；这起事件与其说是“黑客攻击”，不如说更像是“黑客攻击”。

攻击者利用了xwin；金融业的“奖励机制”不断增加和减少流动性以获得奖励。正常情况下，由于用户添加量小，收入可能很小，甚至不足以支付服务费；但在巨额资金面前，回报会变得极高。

因此，成都连锁安全团队建议，在日常安全保障工作中，项目方除了要建立一整套完善的防范机制和风险控制体系外，还要注意检查项目本身的推广手段和奖励机制是否存在一定的漏洞，以防止攻击者趁机攻击造成巨大损失