SWAP:经过安全审计的FSwap项目，黑客如何还能有机可乘？-ODAILY_CoinsPaid

前言

北京时间2022年6月13日，知道创宇区块链安全实验室监测到BSC链上的FSwap去中心化交易所项目遭到闪电贷攻击，导致损失1751枚BNB约39万美元。

知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

基础信息

FSwap是一个去中心化交易所项目，可实现对加密资产的链上高效清算和资产的跨链交易。

攻击者地址：0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc

加密分析师：比特币大修正中最糟糕的时期已经过去:金色财经报道，著名的加密货币分析师Nicholas Merten表示，比特币大修正中最糟糕的时期可能已经过去了。他表示，以加密货币为中心的各种衍生品市场的存在可能改变了我们所知道的牛市周期的结构。[2021/6/24 0:01:37]

攻击合约：0x7437e7a923a5b467a197c6fae991f0f0ced9af57

tx：0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe

FSwapPair合约：0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db

声音 | 国家信息中心朱幼平：区块链经过12年试错 技术基本可以商用:12月5日，在“FBEC 2019全球区块链技术创新峰会”上，国家信息中心中经网管理中心副主任、党总支副书记朱幼平发表《传统企业进场，该如何抓住“链改”的时代机遇》主题演讲，他表示，区块链经过12年的试错，技术基本可以商用。区块链和数字货币是新的经济增长点，将推动工业时代向数字时代转型。总书记讲话是理论的指引，把区块链引导到赋能实体经济的正确轨道上。（陀螺财经）[2019/12/5]

漏洞分析

漏洞关键在于FSwapPair合约中的swap方法在每次交易计算手续费时会将pair合约中的储备token当作手续费发送给feeto地址，这将会导致池子中的代币数量减少，从而引起代币价格上涨，攻击者能够从中套利。

ZRX经过一波强势上涨之后，今日价格出现下跌，跌幅达20.22%:根据币安交易平台数据显示，ZRX最新成交价格为人民币11.95元，24小时最高价达人民币15.99元，最低价格为人民币11.68元，24小时成交量4883.76BTC。ZRX是一个以太坊上的去中心化交易的开源协议，以促进以太坊资产的去信任和低摩擦交易。[2018/1/10]

攻击流程

1、攻击者使用闪电贷在BiSwap中贷款300万枚BSC-USD代币，并使用255万枚BSC-USD代币在Fswap中换取54万余枚MC代币;

2、随后攻击者在合约中反复多次贷-还闪电贷以此消耗池子中的MC代币，使得池中中得MC代币数量急剧减少，价格也迅速上涨；

3、攻击者立刻在池子中置换手中的MC代币获取大量BSC-USD代币；

4、攻击者偿还闪电贷，将剩余BSC-USD代币进行swap，获利1751枚BNB，最后自毁合约离场。

总结

本次攻击事件核心是项目方误将手续费收取方设定为pair合约而不是用户本身，从而导致池子中的代币数量能够被消耗，发生套利风险。

建议项目方在编写项目时应对函数中的手续费收取逻辑实现进行严格的审查，此处应该将手续费收取对象设置为用户而不是pair合约。

在此提醒项目方发布项目后一定要将私钥严密保管，谨防网络钓鱼。另外，近期各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：SWAP区块链PAIAIRuniswap币为什么涨不起来区块链专业是冷门专业吗CoinsPaidAIRT价格

AAVE热门资讯