区块链:经过安全审计的FSwap项目，黑客如何还能有机可乘？_FSW币

前言

北京时间2022年6月13日，知道创宇区块链安全实验室?监测到BSC链上的FSwap去中心化交易所项目遭到闪电贷攻击，导致损失1751枚BNB约39万美元。

知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

基础信息

FSwap是一个去中心化交易所项目，可实现对加密资产的链上高效清算和资产的跨链交易。

数百万个Telegram账户遭到泄露，过半数据已经过时:近日，一个暗网论坛发布了一个包含Telegram数百万用户电话号码和唯一标识符的数据库。该数据库大约900MB，Kod.ru的屏幕快照表明该文件包含超过4000万个条目。Telegram新闻服务部门证实了数据库的存在，并指出在用户在注册过程中通过内置的联系人导入功能收集了这些信息。

但是，Telegram新闻服务部门表示，超过一半的联系人已经过时。数据库中近70%的账户是来自伊朗，剩余30%来自俄罗斯。（Kod.ru）[2020/6/28]

攻击者地址：0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc

声音 | 迅雷集团CEO陈磊：互联网野蛮生长时代已经过去，区块链将开启新的时代:12月7日，由中国科学院学部主办、中国信息通信研究院等单位联合支持的“区块链技术与应用”科学与技术前沿论坛在深圳开幕。中国科学院信息技术科学部郑志明院士、数学物理学部王小云院士等四位院士发表主题演讲，同时还有300余名来自政府和企业界的代表出席会议，围绕区块链与数字身份、监管科技、金融应用等话题展开讨论。会上迅雷集团首席执行官陈磊表示，互联网野蛮生长的时代已经过去，一个业态应该有自己生长的逻辑，而不只是通过攫取用户的时长来获取利益。在他看来，互联网带来的诸多问题也是技术问题，而区块链是给互联网带来秩序、规则和信任的典型技术手段。它的公开透明、可追溯、不可篡改曾特性，让互联网上的数据变得可信、可管理、有序共享，特别是“区块链+物联网”有望打破数据孤岛，因而有广泛应用场景。目前迅雷区块链技术在金融征信、教育、版权、物联网等领域都有应用。[2019/12/7]

攻击合约：0x7437e7a923a5b467a197c6fae991f0f0ced9af57

声音 | 蚂蚁金服副总裁：更希望经过天猫“双11”这种场合淬炼区块链技术:金色财经报道，蚂蚁金服副总裁蒋国飞表示，我们更希望经过这种场合（天猫“双11”）淬炼区块链技术，使其能更好地服务实体经济，解决社会问题。中国社会科学院金融研究所法与金融研究室副主任尹振涛指出，天猫“双11”确实是我们观察区块链应用场景落地检验颇佳的窗口，这是很有价值的一件事儿。[2019/11/14]

tx：0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe

FSwapPair合约：0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db

漏洞分析

漏洞关键在于FSwapPair合约中的swap方法在每次交易计算手续费时会将pair合约中的储备token当作手续费发送给feeto地址，这将会导致池子中的代币数量减少，从而引起代币价格上涨，攻击者能够从中套利。

攻击流程

1、攻击者使用闪电贷在BiSwap中贷款300万枚BSC-USD代币，并使用255万枚BSC-USD代币在Fswap中换取54万余枚MC代币;

2、随后攻击者在合约中反复多次贷-还闪电贷以此消耗池子中的MC代币，使得池中中得MC代币数量急剧减少，价格也迅速上涨；

3、攻击者立刻在池子中置换手中的MC代币获取大量BSC-USD代币；

4、攻击者偿还闪电贷，将剩余BSC-USD代币进行swap，获利1751枚BNB，最后自毁合约离场。

总结

本次攻击事件核心是项目方误将手续费收取方设定为pair合约而不是用户本身，从而导致池子中的代币数量能够被消耗，发生套利风险。

建议项目方在编写项目时应对函数中的手续费收取逻辑实现进行严格的审查，此处应该将手续费收取对象设置为用户而不是pair合约。

在此提醒项目方发布项目后一定要将私钥严密保管，谨防网络钓鱼。另外，近期各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：区块链SWAPFSWAIR区块链存证怎么弄PSWAPFSW币MAIR价格

币安下载热门资讯