經過安全審計的FSwap項目，黑客如何還能有機可乘？-ODAILY_SWAP

前言

北京時間2022年6月13日，知道創宇區塊鏈安全實驗室監測到BSC鏈上的FSwap去中心化交易所項目遭到閃電貸攻擊，導致損失1751枚BNB約39萬美元。

知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

基礎信息

FSwap是一個去中心化交易所項目，可實現對加密資產的鏈上高效清算和資產的跨鏈交易。

攻擊者地址：0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc

批評人士：歐洲加密貨幣法案MiCA在生效之前就已經過時了:金色財經報道，周四，歐洲立法者批準了《加密資產市場監管》法律（MiCA)，該法律將成為歐盟提供首個管理加密行業的規則。MiCA已經的制定歷經了三年，作為美國通過執法行動監管該行業的替代方案，受到了加密行業高管的歡迎。然而，批評人士表示，這項法律在生效之前就已經過時了，因為它幾乎錯過了加密貨幣寒冬，而且已經有人呼吁更新。一旦實施，MiCA將要求任何在歐盟提供加密相關服務的公司在歐盟成員國之一獲得注冊，然后允許他們在整個歐盟開展業務。歐洲銀行業管理局（EBA）和歐洲證券及市場管理局將負責確保加密平臺遵守這些規則，包括擁有足夠的風險管理和治理流程，以避免再次發生類似的加密交易所破產。[2023/4/20 14:16:42]

攻擊合約：0x7437e7a923a5b467a197c6fae991f0f0ced9af57

Osmosis區塊鏈計劃在今天24:00重啟網絡，并使用經過全面測試的新版本:6月12日消息，Cosmos 生態 Osmosis 區塊鏈計劃在北京時間今天 24:00 重新啟動區塊鏈網絡，并使用經過全面測試的新版本。前 5 個區塊將是「Epoch 區塊」，在停機期間提供獎勵，此外由于連續的「Epoch 區塊」，正常區塊的處理可能需要在重啟后 90 分鐘開始。

此前報道，6 月 8 日 Osmosis 區塊鏈停止進行緊急維護，漏洞損失規模可能為 500 萬美元左右。[2022/6/12 4:20:35]

tx：0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe

Manifold推出經過驗證的NFT工作室:金色財經報道，Manifold周二宣布推出經過驗證的NFT工作室“Manifold Studio”，將允許任何人鑄造NFT，同時保留作品的真正所有權和起源。Manifold 表示，其獨特之處在于為創作者提供了對他們所創造內容的完全所有權。 Manifold并不依賴第三方平臺以及隨之而來的所有許可條款，而是聲稱“創造者就是平臺”。[2021/10/6 20:08:13]

FSwapPair合約：0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db

漏洞分析

漏洞關鍵在于FSwapPair合約中的swap方法在每次交易計算手續費時會將pair合約中的儲備token當作手續費發送給feeto地址，這將會導致池子中的代幣數量減少，從而引起代幣價格上漲，攻擊者能夠從中套利。

攻擊流程

1、攻擊者使用閃電貸在BiSwap中貸款300萬枚BSC-USD代幣，并使用255萬枚BSC-USD代幣在Fswap中換取54萬余枚MC代幣;

2、隨后攻擊者在合約中反復多次貸-還閃電貸以此消耗池子中的MC代幣，使得池中中得MC代幣數量急劇減少，價格也迅速上漲；

3、攻擊者立刻在池子中置換手中的MC代幣獲取大量BSC-USD代幣；

4、攻擊者償還閃電貸，將剩余BSC-USD代幣進行swap，獲利1751枚BNB，最后自毀合約離場。

總結

本次攻擊事件核心是項目方誤將手續費收取方設定為pair合約而不是用戶本身，從而導致池子中的代幣數量能夠被消耗，發生套利風險。

建議項目方在編寫項目時應對函數中的手續費收取邏輯實現進行嚴格的審查，此處應該將手續費收取對象設置為用戶而不是pair合約。

在此提醒項目方發布項目后一定要將私鑰嚴密保管，謹防網絡釣魚。另外，近期各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：SWAP區塊鏈ANIPAIEDDASwap區塊鏈工程專業學什么女生比較好KANI幣PAINT幣

以太坊價格