PAI:经过安全审计的FSwap项目，黑客如何还能有机可乘？-ODAILY

前言

北京时间2022年6月13日，知道创宇区块链安全实验室监测到BSC链上的FSwap去中心化交易所项目遭到闪电贷攻击，导致损失1751枚BNB约39万美元。

知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

基础信息

FSwap是一个去中心化交易所项目，可实现对加密资产的链上高效清算和资产的跨链交易。

攻击者地址：0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc

美国总统拜登：CPI数据已经过时:金色财经报道，美国总统拜登表示，美国6月通胀数据“高得令人无法接受”，但考虑到最近汽油价格的下跌，CPI数据已经过时。(金十)[2022/7/14 2:11:39]

攻击合约：0x7437e7a923a5b467a197c6fae991f0f0ced9af57

tx：0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe

FSwapPair合约：0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db

V神：经过认证的去中心化区块链世界即将到来:金色财经报道，以太坊联合创始人兼核心开发人员Vitalik Buterin针对Reddit社区的《我对web3的第一印象》话题回复称，我认为经过认证的去中心化区块链世界即将到来，而且比许多人想象的更接近于此。当然，所有这些技术都有可能建立起来，而很多人不会关心。但我比较乐观。用户通常接受开发者给出的默认设置，而且很多开发者确实真正关心去中心化和不可信任的问题（而运行中心化信任节点的法律问题越来越多，会促使他们更加关心）。用户今天拒绝的去中心化选项（例如，运行一个完整的节点）在今天确实是相当困难，所以用户坚持使用更中心化的选项是可以理解的，至少他们可以轻松使用。这里列出的建议都没有那么困难，甚至运行一个完整的节点本身也会随着时间的推移变得更容易和更便宜。因为像无状态和历史过期的想法开始发挥作用，所以我看不出为什么未来需要像今天这样的技术原因。[2022/1/9 8:35:19]

漏洞分析

声音 | 小牛资本管理集团董事长：区块链上半场已经过了:据财经网报道，在主题为“共享全球智慧 引领未来科技”的世界科技创新论坛上，小牛资本管理集团董事长彭铁表示：现在说区块链上半场已经过了，现在已经是下半场了。面对金融科技的时候一定要冷静，不要追赶太快，看着它怎么用好它，有条件了去参与一些东西去，是最好的。[2018/8/12]

漏洞关键在于FSwapPair合约中的swap方法在每次交易计算手续费时会将pair合约中的储备token当作手续费发送给feeto地址，这将会导致池子中的代币数量减少，从而引起代币价格上涨，攻击者能够从中套利。

攻击流程

1、攻击者使用闪电贷在BiSwap中贷款300万枚BSC-USD代币，并使用255万枚BSC-USD代币在Fswap中换取54万余枚MC代币;

2、随后攻击者在合约中反复多次贷-还闪电贷以此消耗池子中的MC代币，使得池中中得MC代币数量急剧减少，价格也迅速上涨；

3、攻击者立刻在池子中置换手中的MC代币获取大量BSC-USD代币；

4、攻击者偿还闪电贷，将剩余BSC-USD代币进行swap，获利1751枚BNB，最后自毁合约离场。

总结

本次攻击事件核心是项目方误将手续费收取方设定为pair合约而不是用户本身，从而导致池子中的代币数量能够被消耗，发生套利风险。

建议项目方在编写项目时应对函数中的手续费收取逻辑实现进行严格的审查，此处应该将手续费收取对象设置为用户而不是pair合约。

在此提醒项目方发布项目后一定要将私钥严密保管，谨防网络钓鱼。另外，近期各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：SWAP区块链PAIAIRSWAPZ区块链技术通俗讲解知乎PAID币3AIR

Fil热门资讯