区块链:经过安全审计的FSwap项目，黑客如何还能有机可乘？-ODAILY

前言

北京时间2022年6月13日，知道创宇区块链安全实验室监测到BSC链上的FSwap去中心化交易所项目遭到闪电贷攻击，导致损失1751枚BNB约39万美元。

知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

基础信息

FSwap是一个去中心化交易所项目，可实现对加密资产的链上高效清算和资产的跨链交易。

攻击者地址：0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc

现场 | 500 Startups风险投资合伙人：白皮书的投资浪潮已经过去，剩下的是有价值的企业:金色财经现场报道，旧金山时间1月18日，在niTROn SUMMIT 2019区块链峰会有关“熊市投资”的圆桌讨论上，500 Startups风险投资合伙人Robert Neivert认为，熊市里剩下真正做产品、解决方案的公司，更加契合古典投资者的投资模型。这些没有水分的公司能够吸引更多古典投资人的关注。经过第一轮的整合，项目变得更加实际，相关性更强。总之白皮书的投资浪潮已经过去，剩下的是有价值的企业。Neivert还表示，跨境电商、游戏等场景具有很好的投资价值。还有一些以前无法做的事情如车联网等需要很多去中心化的架构以赋能网络，可以通过区块链实现。真正解决问题的案例才有价值。获取资金的机会少，但一旦获得机会，获得资金是巨大的。很多公司在现在熊市的时候反到能够获得VC的帮助，增加成功的机会，如果有好的想法和好的团队，要马上去付诸实现。[2019/1/19]

攻击合约：0x7437e7a923a5b467a197c6fae991f0f0ced9af57

动态 | 软件公司VMware推出为企业提供经过许可的区块链:据Tokenpost消息，VMware是一家云计算和平台虚拟化软件和服务供应商，已宣布推出一项新服务“ VMWare Blockchain ” ，该服务将为企业财团提供经过许可的区块链。VMware表示，它将为分散式信任提供基础，同时提供企业级可扩展性、可靠性、安全性和可管理性。[2018/11/7]

tx：0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe

FSwapPair合约：0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db

荷兰ING银行区块链负责人：区块链的炒作时期已经过去了:据coindesk消息，荷兰ING银行的区块链负责人Herve Francois在伦敦区块链博览会上表示认同区块链的炒作时期已经过去了的说法。Francois指出，ING上个月已经通过在R3的Corda分布式账本平台上使用金融科技创业公司HQLAx的抵押贷款应用程序成功地交换了价值2500万欧元的流动资产。该程序将在年底前投入生产。该行已与监管机构进行了密切合作，目前他们正在与亚洲的监管机构进行交流。[2018/4/21]

漏洞分析

漏洞关键在于FSwapPair合约中的swap方法在每次交易计算手续费时会将pair合约中的储备token当作手续费发送给feeto地址，这将会导致池子中的代币数量减少，从而引起代币价格上涨，攻击者能够从中套利。

攻击流程

1、攻击者使用闪电贷在BiSwap中贷款300万枚BSC-USD代币，并使用255万枚BSC-USD代币在Fswap中换取54万余枚MC代币;

2、随后攻击者在合约中反复多次贷-还闪电贷以此消耗池子中的MC代币，使得池中中得MC代币数量急剧减少，价格也迅速上涨；

3、攻击者立刻在池子中置换手中的MC代币获取大量BSC-USD代币；

4、攻击者偿还闪电贷，将剩余BSC-USD代币进行swap，获利1751枚BNB，最后自毁合约离场。

总结

本次攻击事件核心是项目方误将手续费收取方设定为pair合约而不是用户本身，从而导致池子中的代币数量能够被消耗，发生套利风险。

建议项目方在编写项目时应对函数中的手续费收取逻辑实现进行严格的审查，此处应该将手续费收取对象设置为用户而不是pair合约。

在此提醒项目方发布项目后一定要将私钥严密保管，谨防网络钓鱼。另外，近期各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：区块链SWAPBSCPAI区块链是什么概念股ESWAPBSCswapMPAI价格

加密货币热门资讯