前言
北京时间2022年6月13日,知道创宇区块链安全实验室?监测到BSC链上的FSwap去中心化交易所项目遭到闪电贷攻击,导致损失1751枚BNB约39万美元。
知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。
基础信息
FSwap是一个去中心化交易所项目,可实现对加密资产的链上高效清算和资产的跨链交易。
万卉:单点事件直接影响比特币价格的时代已经过去:对于一些网友认为单个事件直接带来比特币利好的现象,Primitive Ventures创始合伙人万卉发微博进行反驳:都2020年了,怎么还有人天真的把单点事件简单归纳为“直接的价格利好”?比特币发展到现在,早就不是那个mtgox一家独大几个交易员就可以控制市场一个听证会就可以影响价格的百分之几十的时候了。持币者越分散,越难形成价格共识。312是流动性危机,而非单点事件造成单边价格变化。所以312 Bitmex拔网线了就立刻止跌了。价格在短期总和价值背离,长期必然耦合。所以在背离的时候才有价值洼地,才有套利的空间。[2020/8/18]
攻击者地址:0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc
声音 | 王巍:区块链发展刚经过第一个周期 与互联网发展历程相似:据新浪财经消息,主题为“中国经济:初心与再出发”的“亚布力中国企业家论坛2018年夏季高峰会”于8月24-26日在江西南昌举行。会上,中国并购公会创始会长王巍认为:从区块链的蓬勃发展,到目前监管层对ICO和虚拟货币的监管,区块链刚刚经过第一个周期,大家还没有看到后面的风险。“谁也不知道未来的风险是什么。互联网也经过了很长的周期,也有失败,也有子,历史是相似的。”[2018/8/25]
攻击合约:0x7437e7a923a5b467a197c6fae991f0f0ced9af57
薛蛮子:野蛮生长的炒币时代已经过去了:薛蛮子今日在朋友圈表态,“这两天比特币应声下跌,野蛮生长的炒币时代已经过去了。我想今后的区块链创业者们融资数额会越来越少,估值会渐渐地回归理性,团队的业绩可能会出现与投资人之间的对条款,以保证项目方的信心。项目会两极分化。优秀项目会越来越好,空气币或者没有什么核心竞争力的me too项目会死掉。泡沫开始破了”。[2018/3/15]
tx:0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe
FSwapPair合约:0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db
漏洞分析
漏洞关键在于FSwapPair合约中的swap方法在每次交易计算手续费时会将pair合约中的储备token当作手续费发送给feeto地址,这将会导致池子中的代币数量减少,从而引起代币价格上涨,攻击者能够从中套利。
攻击流程
1、攻击者使用闪电贷在BiSwap中贷款300万枚BSC-USD代币,并使用255万枚BSC-USD代币在Fswap中换取54万余枚MC代币;
2、随后攻击者在合约中反复多次贷-还闪电贷以此消耗池子中的MC代币,使得池中中得MC代币数量急剧减少,价格也迅速上涨;
3、攻击者立刻在池子中置换手中的MC代币获取大量BSC-USD代币;
4、攻击者偿还闪电贷,将剩余BSC-USD代币进行swap,获利1751枚BNB,最后自毁合约离场。
总结
本次攻击事件核心是项目方误将手续费收取方设定为pair合约而不是用户本身,从而导致池子中的代币数量能够被消耗,发生套利风险。
建议项目方在编写项目时应对函数中的手续费收取逻辑实现进行严格的审查,此处应该将手续费收取对象设置为用户而不是pair合约。
在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼。另外,近期各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。