前言
北京時間2022年6月13日,知道創宇區塊鏈安全實驗室?監測到BSC鏈上的FSwap去中心化交易所項目遭到閃電貸攻擊,導致損失1751枚BNB約39萬美元。
知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。
基礎信息
FSwap是一個去中心化交易所項目,可實現對加密資產的鏈上高效清算和資產的跨鏈交易。
高善文:美國金融市場最壞的時期已經過去 出現金融危機的概率并不大:高善文在書面答復關于新冠疫情經濟影響及對策的媒體采訪時表示,美國金融市場最壞的時期已經過去,出現金融危機的概率并不大。接下來市場的焦點將轉向疫情的變化、公司基本面的好壞以及一些長期結構性問題的修復,但無論如何,由于流動性的短暫枯竭,前段時間的暴跌可能過度透支和定價了這些負面因素的影響。(證券時報)[2020/4/3]
攻擊者地址:0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc
聲音 | 加密貨幣交易員:BTC經過一個月的相對橫盤整理后將突破8000美元:加密貨幣交易員Nebraskan Gooner在推特發文稱,BTC分形意味著短期內價格會上升到7500美元,在一個月的時間內價格會相對橫盤整理,然后突破8000美元。這對我來說似乎是一條合乎邏輯的道路。如果這種情況出現,現在是時候開始查看每日/每周的山寨幣支持水平了。[2020/1/5]
攻擊合約:0x7437e7a923a5b467a197c6fae991f0f0ced9af57
聲音 | 余弦:不經過攻擊洗禮并保持進化的公鏈是不安全的:今日慢霧科技聯合創始人余弦表示,ETC 51%攻擊在行業內刷屏了,馬后炮的居多,還有說其他共識算法比 POW 更安全,順手廣告自家的公鏈。我想說:沒經過真實攻擊一次次洗禮且保持進化的公鏈都不是安全的公鏈。順便提醒下:51%攻擊一旦成為真實場景下的成熟攻擊手法,各個非大型公鏈及對接了一堆小公鏈幣種的都需要小心了,風控機制需要特別增加一項:萬一出現雙花攻擊,怎么辦?[2019/1/8]
tx:0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe
FSwapPair合約:0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db
漏洞分析
漏洞關鍵在于FSwapPair合約中的swap方法在每次交易計算手續費時會將pair合約中的儲備token當作手續費發送給feeto地址,這將會導致池子中的代幣數量減少,從而引起代幣價格上漲,攻擊者能夠從中套利。
攻擊流程
1、攻擊者使用閃電貸在BiSwap中貸款300萬枚BSC-USD代幣,并使用255萬枚BSC-USD代幣在Fswap中換取54萬余枚MC代幣;
2、隨后攻擊者在合約中反復多次貸-還閃電貸以此消耗池子中的MC代幣,使得池中中得MC代幣數量急劇減少,價格也迅速上漲;
3、攻擊者立刻在池子中置換手中的MC代幣獲取大量BSC-USD代幣;
4、攻擊者償還閃電貸,將剩余BSC-USD代幣進行swap,獲利1751枚BNB,最后自毀合約離場。
總結
本次攻擊事件核心是項目方誤將手續費收取方設定為pair合約而不是用戶本身,從而導致池子中的代幣數量能夠被消耗,發生套利風險。
建議項目方在編寫項目時應對函數中的手續費收取邏輯實現進行嚴格的審查,此處應該將手續費收取對象設置為用戶而不是pair合約。
在此提醒項目方發布項目后一定要將私鑰嚴密保管,謹防網絡釣魚。另外,近期各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
尊敬的XT.COM用戶:因RAY,FIDA錢包升級維護,XT.COM現已暫停RAY,FIDA充提業務.
1900/1/1 0:00:002022年6月19日,Solana生態借貸協議Solend發起的治理提案SLND1,以115萬贊成票及3萬反對票的結果通過.
1900/1/1 0:00:00DearKCSHolders,?Toacceleratetheprocessof?KCS?burnandadapttothemarketdevelopmentmoreefficiently.
1900/1/1 0:00:006月15日消息,USDT母公司Tether表示,譴責有關其商業票據的虛假謠言,有傳言稱其商業票據組合中85%由中國或亞洲商業票據支持,并以30%的折價交易是完全錯誤的.
1900/1/1 0:00:00原文作者:AndrewBeal 原文編譯:DeFi之道 盡管越來越多的人承認簡單的基于代幣的治理模型存在嚴重缺陷,但治理領域的實驗數量依然很少.
1900/1/1 0:00:00尊敬的XT.COM用戶:由於SOL錢包升級維護,XT.COM現已暫停所有SOL鏈上代幣的充值與提現業務.
1900/1/1 0:00:00