前言
北京时间2022年6月13日,知道创宇区块链安全实验室监测到BSC链上的FSwap去中心化交易所项目遭到闪电贷攻击,导致损失1751枚BNB约39万美元。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
基础信息
FSwap是一个去中心化交易所项目,可实现对加密资产的链上高效清算和资产的跨链交易。
攻击者地址:0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc
日本央行计划在经过两年的试验后,决定是否在2026年发行数字货币:金色财经报道,据日经新闻:日本央行计划在经过两年的试验后,决定是否在2026年发行数字货币。[2022/11/23 8:00:48]
攻击合约:0x7437e7a923a5b467a197c6fae991f0f0ced9af57
tx:0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe
FSwapPair合约:0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db
金色财经现场报道 美国司法部(DOJ)助理副检察长Sujit Raman:对加密货币的最大担忧是大量资金不经过金融机构便流入市场:金色财经现场报道,今日在Coindesk 2018共识会议上,美国司法部(DOJ)助理副检察长Sujit Raman称:“DOJ的首要任务是保证人们的安全,我们对加密货币的担忧是大量资金不经过金融机构便流入市场,而不接触金融机构。从国家安全角度或反角度来看,这是我们必须进行的调查。”[2018/5/16]
漏洞分析
漏洞关键在于FSwapPair合约中的swap方法在每次交易计算手续费时会将pair合约中的储备token当作手续费发送给feeto地址,这将会导致池子中的代币数量减少,从而引起代币价格上涨,攻击者能够从中套利。
Telegram律师:提供用户经过加密的数据是不可能的:上个月,俄罗斯的媒体监管官员Roskomnadzor曾要求Telegram允许俄罗斯联邦安全局 (FSB)访问Telegram网站用户的消息数据。据金融时报报道,Dmitry Dinze律师事务所负责人Pavel Chikov在Telegram的公共频道上发布了一封写给Roskomnadzor的信,他在信中表示,让Telegram提供其用户数据是不可能实现的。这是因为Telegram上一般的聊天方式是在云服务器上进行的,数据在用户之间分配,而不在任何一方处保存。该公司还提供了一种“秘密聊天”功能,每隔几分钟就会更改加密密钥,并且在信息自动删除之前不会存储任何数据。此前,Telegram的联合创始人Pavel Durov曾在其社交媒体上表示Telegram不会向FSB提供加密密钥。通过要求提供用户数据,来威胁限制使用Telegram将不会得到结果。[2018/4/3]
攻击流程
1、攻击者使用闪电贷在BiSwap中贷款300万枚BSC-USD代币,并使用255万枚BSC-USD代币在Fswap中换取54万余枚MC代币;
2、随后攻击者在合约中反复多次贷-还闪电贷以此消耗池子中的MC代币,使得池中中得MC代币数量急剧减少,价格也迅速上涨;
3、攻击者立刻在池子中置换手中的MC代币获取大量BSC-USD代币;
4、攻击者偿还闪电贷,将剩余BSC-USD代币进行swap,获利1751枚BNB,最后自毁合约离场。
总结
本次攻击事件核心是项目方误将手续费收取方设定为pair合约而不是用户本身,从而导致池子中的代币数量能够被消耗,发生套利风险。
建议项目方在编写项目时应对函数中的手续费收取逻辑实现进行严格的审查,此处应该将手续费收取对象设置为用户而不是pair合约。
在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼。另外,近期各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。