經過安全審計的FSwap項目，黑客如何還能有機可乘？_PAI

前言

北京時間2022年6月13日，知道創宇區塊鏈安全實驗室?監測到BSC鏈上的FSwap去中心化交易所項目遭到閃電貸攻擊，導致損失1751枚BNB約39萬美元。

知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

基礎信息

FSwap是一個去中心化交易所項目，可實現對加密資產的鏈上高效清算和資產的跨鏈交易。

Crypto.com CEO：將發布經過審計的儲備金證明:金色財經報道，Crypto.com首席執行官Kris Marszalek發推稱，“我們認為，加密平臺應該有必要公開分享儲備證明，并且Crypto.com將發布我們經過審計的儲備金證明。這是整個行業的關鍵時刻。透明度比以往任何時候都更加重要，用戶和資金的安全和保障仍然是優先事項。它需要充分和集體的承諾。恢復人們對加密貨幣的信任需要時間，但我們有責任向世界發出一個強有力的信息，即存在值得信任的加密貨幣平臺。”

此前消息，Marszalek表示存在FTX的自有資金不到1000萬美元，未從事過不負責任的借貸。[2022/11/10 12:43:26]

攻擊者地址：0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc

CryptoCompare分析師：大部分被迫拋售已經過去:金色財經報道，CryptoCompare 的研究分析師David Moreno在一份研究報告中寫道：市場蔓延最嚴重的時期可能已經過去，大部分被迫拋售已經過去。 然而，分析師仍警告稱，近期市場不會出現任何顯著上漲。此外，鑒于第二季度的嚴重負面表現，出現’緩解’反彈也就不足為奇了。我們相信未來幾個月市場將繼續區間震蕩。（CNBC）[2022/7/21 2:28:39]

攻擊合約：0x7437e7a923a5b467a197c6fae991f0f0ced9af57

獨家 | Topfund總裁劉思宇：token fund隨便投資項目就能翻倍的牛市已經過去:Topfund總裁劉思宇在接受金色財經獨家采訪時表示，token fund隨便投資項目就能翻倍的牛市已經過去，投資項目的風險增大，回報周期拉長，不確定性增加很大。現在投資區塊鏈項目需要真正去尋找能夠穿越熊市的區塊鏈項目。目前，有持續賺錢能力的大多還是二級量化能力強的基金。[2018/8/22]

tx：0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe

FSwapPair合約：0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db

漏洞分析

漏洞關鍵在于FSwapPair合約中的swap方法在每次交易計算手續費時會將pair合約中的儲備token當作手續費發送給feeto地址，這將會導致池子中的代幣數量減少，從而引起代幣價格上漲，攻擊者能夠從中套利。

攻擊流程

1、攻擊者使用閃電貸在BiSwap中貸款300萬枚BSC-USD代幣，并使用255萬枚BSC-USD代幣在Fswap中換取54萬余枚MC代幣;

2、隨后攻擊者在合約中反復多次貸-還閃電貸以此消耗池子中的MC代幣，使得池中中得MC代幣數量急劇減少，價格也迅速上漲；

3、攻擊者立刻在池子中置換手中的MC代幣獲取大量BSC-USD代幣；

4、攻擊者償還閃電貸，將剩余BSC-USD代幣進行swap，獲利1751枚BNB，最后自毀合約離場。

總結

本次攻擊事件核心是項目方誤將手續費收取方設定為pair合約而不是用戶本身，從而導致池子中的代幣數量能夠被消耗，發生套利風險。

建議項目方在編寫項目時應對函數中的手續費收取邏輯實現進行嚴格的審查，此處應該將手續費收取對象設置為用戶而不是pair合約。

在此提醒項目方發布項目后一定要將私鑰嚴密保管，謹防網絡釣魚。另外，近期各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：SWAPCRYPPAICOMbabyswap幣崩盤Crypto Cavemen ClubPAI價格Decentralized Community Investment Protocol

POL幣最新價格