區塊鏈:經過安全審計的FSwap項目，黑客如何還能有機可乘？

前言

北京時間2022年6月13日，知道創宇區塊鏈安全實驗室?監測到BSC鏈上的FSwap去中心化交易所項目遭到閃電貸攻擊，導致損失1751枚BNB約39萬美元。

知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

基礎信息

FSwap是一個去中心化交易所項目，可實現對加密資產的鏈上高效清算和資產的跨鏈交易。

聲音 | 復旦大學焦經川：經過技術改造和應用，區塊鏈可以助力反洗錢:據第一財經消息，復旦大學中國反洗錢研究中心研究員焦經川出席“夯實控虛 嚴監管 新高度——2019第九屆中國反洗錢高峰論壇”時表示，區塊鏈技術到底是洗錢的幫兇還是反洗錢的助手取決于使用技術的人。區塊鏈并非天生的洗錢工具，通過區塊鏈技術的改造和應用，區塊鏈可以助力反洗錢。[2019/11/22]

攻擊者地址：0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc

聲音 | 螞蟻金服副總裁：更希望經過天貓“雙11”這種場合淬煉區塊鏈技術:金色財經報道，螞蟻金服副總裁蔣國飛表示，我們更希望經過這種場合（天貓“雙11”）淬煉區塊鏈技術，使其能更好地服務實體經濟，解決社會問題。中國社會科學院金融研究所法與金融研究室副主任尹振濤指出，天貓“雙11”確實是我們觀察區塊鏈應用場景落地檢驗頗佳的窗口，這是很有價值的一件事兒。[2019/11/14]

攻擊合約：0x7437e7a923a5b467a197c6fae991f0f0ced9af57

Telegram律師：提供用戶經過加密的數據是不可能的:上個月，俄羅斯的媒體監管官員Roskomnadzor曾要求Telegram允許俄羅斯聯邦安全局 （FSB）訪問Telegram網站用戶的消息數據。據金融時報報道，Dmitry Dinze律師事務所負責人Pavel Chikov在Telegram的公共頻道上發布了一封寫給Roskomnadzor的信，他在信中表示，讓Telegram提供其用戶數據是不可能實現的。這是因為Telegram上一般的聊天方式是在云服務器上進行的，數據在用戶之間分配，而不在任何一方處保存。該公司還提供了一種“秘密聊天”功能，每隔幾分鐘就會更改加密密鑰，并且在信息自動刪除之前不會存儲任何數據。此前，Telegram的聯合創始人Pavel Durov曾在其社交媒體上表示Telegram不會向FSB提供加密密鑰。通過要求提供用戶數據，來威脅限制使用Telegram將不會得到結果。[2018/4/3]

tx：0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe

FSwapPair合約：0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db

漏洞分析

漏洞關鍵在于FSwapPair合約中的swap方法在每次交易計算手續費時會將pair合約中的儲備token當作手續費發送給feeto地址，這將會導致池子中的代幣數量減少，從而引起代幣價格上漲，攻擊者能夠從中套利。

攻擊流程

1、攻擊者使用閃電貸在BiSwap中貸款300萬枚BSC-USD代幣，并使用255萬枚BSC-USD代幣在Fswap中換取54萬余枚MC代幣;

2、隨后攻擊者在合約中反復多次貸-還閃電貸以此消耗池子中的MC代幣，使得池中中得MC代幣數量急劇減少，價格也迅速上漲；

3、攻擊者立刻在池子中置換手中的MC代幣獲取大量BSC-USD代幣；

4、攻擊者償還閃電貸，將剩余BSC-USD代幣進行swap，獲利1751枚BNB，最后自毀合約離場。

總結

本次攻擊事件核心是項目方誤將手續費收取方設定為pair合約而不是用戶本身，從而導致池子中的代幣數量能夠被消耗，發生套利風險。

建議項目方在編寫項目時應對函數中的手續費收取邏輯實現進行嚴格的審查，此處應該將手續費收取對象設置為用戶而不是pair合約。

在此提醒項目方發布項目后一定要將私鑰嚴密保管，謹防網絡釣魚。另外，近期各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：區塊鏈RAMELETEL泰達幣區塊鏈交易查詢ram幣最新消息ELEPHANT價格iTeller

SHIB最新價格