區塊鏈:經過安全審計的FSwap項目，黑客如何還能有機可乘？_FSW

前言

北京時間2022年6月13日，知道創宇區塊鏈安全實驗室?監測到BSC鏈上的FSwap去中心化交易所項目遭到閃電貸攻擊，導致損失1751枚BNB約39萬美元。

知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

基礎信息

FSwap是一個去中心化交易所項目，可實現對加密資產的鏈上高效清算和資產的跨鏈交易。

波卡安全性經過Atredis審計:Web3基金會發布Medium表示，波卡安全性已經經過信息安全公司Atredis審計。Atredis對波卡運行時間的完整性、機密性和可用性，以及對波卡驗證者的安全性和可靠性進行了評估。Atredis在今年1月20日到2月11日執行了這次評估，審計檢查出1個重要問題，1個高安全性問題、1個中度安全性問題，3個信息型問題。其中重要問題是一個邏輯問題，已經修復，其他問題不會擾亂到整個網絡。[2020/12/1 22:40:32]

攻擊者地址：0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc

數百萬個Telegram賬戶遭到泄露，過半數據已經過時:近日，一個暗網論壇發布了一個包含Telegram數百萬用戶電話號碼和唯一標識符的數據庫。該數據庫大約900MB，Kod.ru的屏幕快照表明該文件包含超過4000萬個條目。Telegram新聞服務部門證實了數據庫的存在，并指出在用戶在注冊過程中通過內置的聯系人導入功能收集了這些信息。

但是，Telegram新聞服務部門表示，超過一半的聯系人已經過時。數據庫中近70%的賬戶是來自伊朗，剩余30%來自俄羅斯。（Kod.ru）[2020/6/28]

攻擊合約：0x7437e7a923a5b467a197c6fae991f0f0ced9af57

聲音 | 迅雷集團CEO陳磊：互聯網野蠻生長時代已經過去，區塊鏈將開啟新的時代:12月7日，由中國科學院學部主辦、中國信息通信研究院等單位聯合支持的“區塊鏈技術與應用”科學與技術前沿論壇在深圳開幕。中國科學院信息技術科學部鄭志明院士、數學物理學部王小云院士等四位院士發表主題演講，同時還有300余名來自政府和企業界的代表出席會議，圍繞區塊鏈與數字身份、監管科技、金融應用等話題展開討論。會上迅雷集團首席執行官陳磊表示，互聯網野蠻生長的時代已經過去，一個業態應該有自己生長的邏輯，而不只是通過攫取用戶的時長來獲取利益。在他看來，互聯網帶來的諸多問題也是技術問題，而區塊鏈是給互聯網帶來秩序、規則和信任的典型技術手段。它的公開透明、可追溯、不可篡改曾特性，讓互聯網上的數據變得可信、可管理、有序共享，特別是“區塊鏈+物聯網”有望打破數據孤島，因而有廣泛應用場景。目前迅雷區塊鏈技術在金融征信、教育、版權、物聯網等領域都有應用。[2019/12/7]

tx：0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe

FSwapPair合約：0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db

漏洞分析

漏洞關鍵在于FSwapPair合約中的swap方法在每次交易計算手續費時會將pair合約中的儲備token當作手續費發送給feeto地址，這將會導致池子中的代幣數量減少，從而引起代幣價格上漲，攻擊者能夠從中套利。

攻擊流程

1、攻擊者使用閃電貸在BiSwap中貸款300萬枚BSC-USD代幣，并使用255萬枚BSC-USD代幣在Fswap中換取54萬余枚MC代幣;

2、隨后攻擊者在合約中反復多次貸-還閃電貸以此消耗池子中的MC代幣，使得池中中得MC代幣數量急劇減少，價格也迅速上漲；

3、攻擊者立刻在池子中置換手中的MC代幣獲取大量BSC-USD代幣；

4、攻擊者償還閃電貸，將剩余BSC-USD代幣進行swap，獲利1751枚BNB，最后自毀合約離場。

總結

本次攻擊事件核心是項目方誤將手續費收取方設定為pair合約而不是用戶本身，從而導致池子中的代幣數量能夠被消耗，發生套利風險。

建議項目方在編寫項目時應對函數中的手續費收取邏輯實現進行嚴格的審查，此處應該將手續費收取對象設置為用戶而不是pair合約。

在此提醒項目方發布項目后一定要將私鑰嚴密保管，謹防網絡釣魚。另外，近期各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：區塊鏈SWAPFSWBSC區塊鏈存證多少錢YuzuSwapFSW幣fantom幣轉到BSC幣什么轉教程

中幣下載