前言
北京时间2022年6月13日,知道创宇区块链安全实验室监测到BSC链上的FSwap去中心化交易所项目遭到闪电贷攻击,导致损失1751枚BNB约39万美元。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
基础信息
FSwap是一个去中心化交易所项目,可实现对加密资产的链上高效清算和资产的跨链交易。
攻击者地址:0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc
高善文:美国金融市场最坏的时期已经过去 出现金融危机的概率并不大:高善文在书面答复关于新冠疫情经济影响及对策的媒体采访时表示,美国金融市场最坏的时期已经过去,出现金融危机的概率并不大。接下来市场的焦点将转向疫情的变化、公司基本面的好坏以及一些长期结构性问题的修复,但无论如何,由于流动性的短暂枯竭,前段时间的暴跌可能过度透支和定价了这些负面因素的影响。(证券时报)[2020/4/3]
攻击合约:0x7437e7a923a5b467a197c6fae991f0f0ced9af57
tx:0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe
声音 | Coinfloor首席执行官:比特币是迄今为止唯一经过证明的加密货币:金色财经报道,Coinfloor首席执行官兼创始人Obi Nwosu解释了该交易所未来将仅支持比特币的原因。Nwosu表示,Coinfloor的举动符合该公司专注于“经过验证”的加密货币的愿景。Nwosu称,比特币是迄今为止唯一经过证明的加密货币,在提供新形式的价值存储或数字黄金的使命方面做得很好。Nwosu认为,以太坊技术迄今尚未得到证明,因为它尚未克服重大变化,包括向以太坊2.0的过渡。[2019/12/18]
FSwapPair合约:0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db
声音 | 央行副行长:经过各部门四年来的努力,避免了一场大规模虚拟资产泡沫风险:12月17日,以“金融科技助力现代金融体系建设”为主题的2019第三届中国互联网金融论坛在京召开。中国人民银行副行长潘功胜因故未能到场,由中国人民银行金融市场司司长邹澜代为致辞。央行副行长潘功胜在致辞稿中指出,2016年以来,在党中央、国务院的领导下,人民银行牵头十七个部门和各级政府开展互联网风险专项整治,经过各部门、各地四年来的努力,目前整治工作取得了实质性成效。例如,果断出手打击虚拟货币投机炒作,避免了一场大规模虚拟资产泡沫风险。此外,虚拟货币交易平台、代币发行融资、无牌网络资管业务、互联网外汇按金交易明令禁止,划清了底线。(新浪财经)[2019/12/17]
漏洞分析
漏洞关键在于FSwapPair合约中的swap方法在每次交易计算手续费时会将pair合约中的储备token当作手续费发送给feeto地址,这将会导致池子中的代币数量减少,从而引起代币价格上涨,攻击者能够从中套利。
攻击流程
1、攻击者使用闪电贷在BiSwap中贷款300万枚BSC-USD代币,并使用255万枚BSC-USD代币在Fswap中换取54万余枚MC代币;
2、随后攻击者在合约中反复多次贷-还闪电贷以此消耗池子中的MC代币,使得池中中得MC代币数量急剧减少,价格也迅速上涨;
3、攻击者立刻在池子中置换手中的MC代币获取大量BSC-USD代币;
4、攻击者偿还闪电贷,将剩余BSC-USD代币进行swap,获利1751枚BNB,最后自毁合约离场。
总结
本次攻击事件核心是项目方误将手续费收取方设定为pair合约而不是用户本身,从而导致池子中的代币数量能够被消耗,发生套利风险。
建议项目方在编写项目时应对函数中的手续费收取逻辑实现进行严格的审查,此处应该将手续费收取对象设置为用户而不是pair合约。
在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼。另外,近期各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。