前言
北京时间2022年6月13日,知道创宇区块链安全实验室监测到BSC链上的FSwap去中心化交易所项目遭到闪电贷攻击,导致损失1751枚BNB约39万美元。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
基础信息
FSwap是一个去中心化交易所项目,可实现对加密资产的链上高效清算和资产的跨链交易。
攻击者地址:0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc
Uniswap Wallet正式在App Store上线,源代码已经过Trail of Bits审计:4月27日消息,Uniswap 宣布其自托管开源移动钱包 Uniswap Wallet 已在 App Store 正式上线, 此前用户在 TestFlight 的所有信息都会自动移植过来。
Uniswap Wallet 支持用户创建新的以太坊钱包或导入现有钱包,用户可以在多个链上存储、监控和交易代币,而无需更改或配置网络,可以查看 NFT、连接到 Web3 应用程序等。Uniswap 钱包源代码已经过安全公司 Trail of Bits 的审计。[2023/4/27 14:31:29]
攻击合约:0x7437e7a923a5b467a197c6fae991f0f0ced9af57
分析师:比特币已经过度扩张,山寨币季即将到来:加密货币策略师Nicholas Merten表示,比特币已经过度扩张,随着投资者将他们的利润转向领先的山寨币,我们可能会看到流动性的转变。他表示,自己正在关注以太坊(ETH/USD),并强调其距离历史高点还很远,他还指出,LTC将保持稳定的上升趋势。尽管加密货币市场目前正在经历一场调整,但Merten表示,山寨币季即将到来。(The Daily Hodl)[2020/12/22 16:07:53]
tx:0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe
波卡安全性经过Atredis审计:Web3基金会发布Medium表示,波卡安全性已经经过信息安全公司Atredis审计。Atredis对波卡运行时间的完整性、机密性和可用性,以及对波卡验证者的安全性和可靠性进行了评估。Atredis在今年1月20日到2月11日执行了这次评估,审计检查出1个重要问题,1个高安全性问题、1个中度安全性问题,3个信息型问题。其中重要问题是一个逻辑问题,已经修复,其他问题不会扰乱到整个网络。[2020/12/1 22:40:32]
FSwapPair合约:0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db
漏洞分析
漏洞关键在于FSwapPair合约中的swap方法在每次交易计算手续费时会将pair合约中的储备token当作手续费发送给feeto地址,这将会导致池子中的代币数量减少,从而引起代币价格上涨,攻击者能够从中套利。
攻击流程
1、攻击者使用闪电贷在BiSwap中贷款300万枚BSC-USD代币,并使用255万枚BSC-USD代币在Fswap中换取54万余枚MC代币;
2、随后攻击者在合约中反复多次贷-还闪电贷以此消耗池子中的MC代币,使得池中中得MC代币数量急剧减少,价格也迅速上涨;
3、攻击者立刻在池子中置换手中的MC代币获取大量BSC-USD代币;
4、攻击者偿还闪电贷,将剩余BSC-USD代币进行swap,获利1751枚BNB,最后自毁合约离场。
总结
本次攻击事件核心是项目方误将手续费收取方设定为pair合约而不是用户本身,从而导致池子中的代币数量能够被消耗,发生套利风险。
建议项目方在编写项目时应对函数中的手续费收取逻辑实现进行严格的审查,此处应该将手续费收取对象设置为用户而不是pair合约。
在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼。另外,近期各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。