前言
北京时间2022年6月13日,知道创宇区块链安全实验室监测到BSC链上的FSwap去中心化交易所项目遭到闪电贷攻击,导致损失1751枚BNB约39万美元。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
基础信息
FSwap是一个去中心化交易所项目,可实现对加密资产的链上高效清算和资产的跨链交易。
攻击者地址:0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc
加密分析师:比特币大修正中最糟糕的时期已经过去:金色财经报道,著名的加密货币分析师Nicholas Merten表示,比特币大修正中最糟糕的时期可能已经过去了。他表示,以加密货币为中心的各种衍生品市场的存在可能改变了我们所知道的牛市周期的结构。[2021/6/24 0:01:37]
攻击合约:0x7437e7a923a5b467a197c6fae991f0f0ced9af57
tx:0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe
FSwapPair合约:0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db
声音 | 国家信息中心朱幼平:区块链经过12年试错 技术基本可以商用:12月5日,在“FBEC 2019全球区块链技术创新峰会”上,国家信息中心中经网管理中心副主任、党总支副书记朱幼平发表《传统企业进场,该如何抓住“链改”的时代机遇》主题演讲,他表示,区块链经过12年的试错,技术基本可以商用。区块链和数字货币是新的经济增长点,将推动工业时代向数字时代转型。总书记讲话是理论的指引,把区块链引导到赋能实体经济的正确轨道上。(陀螺财经)[2019/12/5]
漏洞分析
漏洞关键在于FSwapPair合约中的swap方法在每次交易计算手续费时会将pair合约中的储备token当作手续费发送给feeto地址,这将会导致池子中的代币数量减少,从而引起代币价格上涨,攻击者能够从中套利。
ZRX经过一波强势上涨之后,今日价格出现下跌,跌幅达20.22%:根据币安交易平台数据显示,ZRX最新成交价格为人民币11.95元,24小时最高价达人民币15.99元,最低价格为人民币11.68元,24小时成交量4883.76BTC。ZRX是一个以太坊上的去中心化交易的开源协议,以促进以太坊资产的去信任和低摩擦交易。[2018/1/10]
攻击流程
1、攻击者使用闪电贷在BiSwap中贷款300万枚BSC-USD代币,并使用255万枚BSC-USD代币在Fswap中换取54万余枚MC代币;
2、随后攻击者在合约中反复多次贷-还闪电贷以此消耗池子中的MC代币,使得池中中得MC代币数量急剧减少,价格也迅速上涨;
3、攻击者立刻在池子中置换手中的MC代币获取大量BSC-USD代币;
4、攻击者偿还闪电贷,将剩余BSC-USD代币进行swap,获利1751枚BNB,最后自毁合约离场。
总结
本次攻击事件核心是项目方误将手续费收取方设定为pair合约而不是用户本身,从而导致池子中的代币数量能够被消耗,发生套利风险。
建议项目方在编写项目时应对函数中的手续费收取逻辑实现进行严格的审查,此处应该将手续费收取对象设置为用户而不是pair合约。
在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼。另外,近期各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
一、DAO的定义、起源DAO即DecentralizedAutonomousOrganization,译为“去中心化自治组织”.
1900/1/1 0:00:00为了全方位保障用户资产安全问题,使用户资金透明可追溯,实现信息代码的开源化,JustLendDAO协议已在GitHub正式开源.
1900/1/1 0:00:00Vitalik在2021年曾说:Ingeneral,myownviewisthatintheshortterm.
1900/1/1 0:00:00本周摘要-CPI指数来到8.6%后,市场暴跌,经济衰退要来了吗?-Celsius和stETH的影响下ETH继续下跌,它会成为下一个Terra和UST吗?一、上周行业动态本周市场在周五跳水.
1900/1/1 0:00:00期待已久的合并将使以太坊从工作量证明(PoW)转变为基于权益证明(PoS)的网络。由于早期依赖GPU算力支持的PoW机制,以太坊打造了一个全球分布式的挖矿产业,到2021年将产生近190亿美元的.
1900/1/1 0:00:00“波卡知识图谱”是我们针对波卡从零到一的入门级文章,我们尝试从波卡最基础的部分讲起,为大家提供全方位了解波卡的内容,当然这是一项巨大的工程,也充满了挑战.
1900/1/1 0:00:00