链资讯 链资讯
Ctrl+D收藏链资讯

SWAP:经过安全审计的FSwap项目,黑客如何还能有机可乘?-ODAILY_BuffSwap

作者:

时间:

前言

北京时间2022年6月13日,知道创宇区块链安全实验室监测到BSC链上的FSwap去中心化交易所项目遭到闪电贷攻击,导致损失1751枚BNB约39万美元。

知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

基础信息

FSwap是一个去中心化交易所项目,可实现对加密资产的链上高效清算和资产的跨链交易。

攻击者地址:0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc

攻击合约:0x7437e7a923a5b467a197c6fae991f0f0ced9af57

tx:0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe

FSwapPair合约:0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db

漏洞分析

漏洞关键在于FSwapPair合约中的swap方法在每次交易计算手续费时会将pair合约中的储备token当作手续费发送给feeto地址,这将会导致池子中的代币数量减少,从而引起代币价格上涨,攻击者能够从中套利。

攻击流程

1、攻击者使用闪电贷在BiSwap中贷款300万枚BSC-USD代币,并使用255万枚BSC-USD代币在Fswap中换取54万余枚MC代币;

2、随后攻击者在合约中反复多次贷-还闪电贷以此消耗池子中的MC代币,使得池中中得MC代币数量急剧减少,价格也迅速上涨;

3、攻击者立刻在池子中置换手中的MC代币获取大量BSC-USD代币;

4、攻击者偿还闪电贷,将剩余BSC-USD代币进行swap,获利1751枚BNB,最后自毁合约离场。

总结

本次攻击事件核心是项目方误将手续费收取方设定为pair合约而不是用户本身,从而导致池子中的代币数量能够被消耗,发生套利风险。

建议项目方在编写项目时应对函数中的手续费收取逻辑实现进行严格的审查,此处应该将手续费收取对象设置为用户而不是pair合约。

在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼。另外,近期各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

标签:SWAPBSCAIRFSWedgeswap币价格CZ Boss BSCCAIRO价格BuffSwap

比特币最新价格热门资讯
USD:NFT奇幻漂流:与NBA史上最伟大射手Stephen Curry的见面会纪实-ODAILY_InfiniityDeFi

封面 嗨,大家好,我是林宇定,是抽中Curry见面会的幸运儿。你知道跟NBA史上最伟大射手StephenCurry一起打球、共进晚餐、做社区慈善是什么感觉吗?让我以第一人称视角带你一窥巨星风采.

POO:SUN.io上的2pool(USDD/USDT) 矿池APY高达22.56%-ODAILY_POOL

据最新消息,7月14日,SUN.io上的2pool(USDD/USDT)矿池当前APY高达22.56%。加入SUN.io2pool稳定币挖矿,即可享受丰厚的USDD+SUN双币奖励.

POOL:DAOrayaki:关注DAO从业者的心理健康-ODAILY_CZBUSD

原文作者:Twoplus原文标题:CultivatingMentalFitnessInDAOs 良好的心理健康对我们的生活和事业至关重要.

INE:Bitfinex一周简报(0815-0820)-ODAILY_ITF

BitfinexPay如何使加密货币交易变得顺畅和容易?自比特币诞生和加密货币市场发展以来,由于其快速、直接和安全的特性,人们逐渐开始接受加密货币支付.

LOC:什么是Art Blocks,如何投资生成艺术?-ODAILY_LOCUS币

Aug.2022,ThiagoFreitasDataSource:ArtBlocksDashboardArtBlocks是一个NFT平台,使其用户能够铸造所谓的"生成艺术".

TRO:波场TRON账户总数突破1.1亿-ODAILY_RON

区块链浏览器TRONSCAN最新数据显示,截至9月3日,波场TRON账户总数达到110,001,199,正式突破1.1亿.