前言
北京时间2022年6月13日,知道创宇区块链安全实验室?监测到BSC链上的FSwap去中心化交易所项目遭到闪电贷攻击,导致损失1751枚BNB约39万美元。
知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。
基础信息
FSwap是一个去中心化交易所项目,可实现对加密资产的链上高效清算和资产的跨链交易。
声音 | 蚂蚁金服副总裁:更希望经过天猫“双11”这种场合淬炼区块链技术:金色财经报道,蚂蚁金服副总裁蒋国飞表示,我们更希望经过这种场合(天猫“双11”)淬炼区块链技术,使其能更好地服务实体经济,解决社会问题。中国社会科学院金融研究所法与金融研究室副主任尹振涛指出,天猫“双11”确实是我们观察区块链应用场景落地检验颇佳的窗口,这是很有价值的一件事儿。[2019/11/14]
攻击者地址:0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc
声音 | 余弦:不经过攻击洗礼并保持进化的公链是不安全的:今日慢雾科技联合创始人余弦表示,ETC 51%攻击在行业内刷屏了,马后炮的居多,还有说其他共识算法比 POW 更安全,顺手广告自家的公链。我想说:没经过真实攻击一次次洗礼且保持进化的公链都不是安全的公链。顺便提醒下:51%攻击一旦成为真实场景下的成熟攻击手法,各个非大型公链及对接了一堆小公链币种的都需要小心了,风控机制需要特别增加一项:万一出现双花攻击,怎么办?[2019/1/8]
攻击合约:0x7437e7a923a5b467a197c6fae991f0f0ced9af57
声音 | 孟岩:ICO时代的通证经济时代已经过去:今日,在国通油滴项目启动仪式暨数字经济支持实体经济发展研讨会上,CSDN副总裁孟岩表示:“ICO时代的通证经济时代已经过去了,未来的通证经济呈现三条路径,一是小通证方式的通证经济;二是监管时代的通证金融;三是Dapp之路;孟岩对'小通证'着重介绍到,小通证拿掉了大通证里融资的功能,而保留了流通、激励、证明的功能,实施思路是积分通证化、规则合约化、业务游戏化、用户社群化、布局全球化。”会上,孟岩宣布国内首个“小通证”项目,国通油滴启动。[2019/1/6]
tx:0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe
FSwapPair合约:0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db
漏洞分析
漏洞关键在于FSwapPair合约中的swap方法在每次交易计算手续费时会将pair合约中的储备token当作手续费发送给feeto地址,这将会导致池子中的代币数量减少,从而引起代币价格上涨,攻击者能够从中套利。
攻击流程
1、攻击者使用闪电贷在BiSwap中贷款300万枚BSC-USD代币,并使用255万枚BSC-USD代币在Fswap中换取54万余枚MC代币;
2、随后攻击者在合约中反复多次贷-还闪电贷以此消耗池子中的MC代币,使得池中中得MC代币数量急剧减少,价格也迅速上涨;
3、攻击者立刻在池子中置换手中的MC代币获取大量BSC-USD代币;
4、攻击者偿还闪电贷,将剩余BSC-USD代币进行swap,获利1751枚BNB,最后自毁合约离场。
总结
本次攻击事件核心是项目方误将手续费收取方设定为pair合约而不是用户本身,从而导致池子中的代币数量能够被消耗,发生套利风险。
建议项目方在编写项目时应对函数中的手续费收取逻辑实现进行严格的审查,此处应该将手续费收取对象设置为用户而不是pair合约。
在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼。另外,近期各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。