前言
北京時間2022年6月13日,知道創宇區塊鏈安全實驗室監測到BSC鏈上的FSwap去中心化交易所項目遭到閃電貸攻擊,導致損失1751枚BNB約39萬美元。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
基礎信息
FSwap是一個去中心化交易所項目,可實現對加密資產的鏈上高效清算和資產的跨鏈交易。
攻擊者地址:0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc
CER報告:45個加密錢包品牌中只有6個經過了滲透測試:金色財經報道,網絡安全認證平臺 CER一份報告發現,45 個加密貨幣錢包品牌中,只有 6 個(即 13.3%)經過了滲透測試以發現安全漏洞。其中,只有一半對其產品的最新版本進行了測試。報告稱,完成最新滲透測試的三個品牌是 MetaMask、ZenGo 和 Trust Wallet。Rabby 和 Bifrost 對舊版本的軟件進行了滲透測試,Ledger Live 對未知版本(在報告中列為“N/A”)進行了滲透測試,列出的所有其他品牌均未提供任何做過這些測試的證據。
該報告還對每個錢包的安全性進行了總體排名,將 MetaMask、ZenGo、Rabby、Trust Wallet 和 Coinbase Wallet 列為總體最安全的錢包。[2023/8/10 16:16:45]
攻擊合約:0x7437e7a923a5b467a197c6fae991f0f0ced9af57
動態 | 成為以太坊信標鏈驗證者僅需經過25.6mins驗證:金色財經現場報道,6月29日在2019以太坊技術及應用大會上,以太坊核心研究員 Hsiao-Wei Wang詳細介紹了成為信標鏈驗證者的步驟。首先質押32ether(或大于),合約驗證余額,再經過4epochs(25.6mins)后即可激活驗證者身份。[2019/6/29]
tx:0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe
FSwapPair合約:0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db
首個經過徹底測試的閃電網絡技術LND已推出 已獲推特及李啟威等人投資:加州初創公司Lightning Labs今天宣布正式推出其軟件(LND)的測試版本,這被投資者和項目負責人認為是迄今為止第一個經過徹底測試的閃電網絡技術。這意味著用戶現在可以利用LND向其他用戶發送比特幣和萊特幣,而無需在區塊鏈上完成這些交易。加州初創公司Lightning Labs今天宣布正式推出其軟件(LND)的測試版本,這被投資者和項目負責人認為是迄今為止第一個經過徹底測試的閃電技術。這意味著用戶現在可以利用LND向其他用戶發送比特幣和萊特幣,而無需在區塊鏈上完成這些交易。與比特幣類似,閃電協議不受任何一個人或公司的管理。以比特幣為中心的創業公司Blockstream曾在1月份發布了其閃電協議規范的候選版本1.0,然而Lightning Labs的軟件被認為是迄今為止最成熟的軟件。該公司今天還透露他們已經從幾十名投資者籌集了250萬美元,投資者包括Twitter的首席執行官Jack Dorsey,Square Capital的執行官Jacqueline Reses,萊特幣創始人Charlie Lee和前任PayPal首席運營官David Sacks。[2018/3/16]
漏洞分析
漏洞關鍵在于FSwapPair合約中的swap方法在每次交易計算手續費時會將pair合約中的儲備token當作手續費發送給feeto地址,這將會導致池子中的代幣數量減少,從而引起代幣價格上漲,攻擊者能夠從中套利。
攻擊流程
1、攻擊者使用閃電貸在BiSwap中貸款300萬枚BSC-USD代幣,并使用255萬枚BSC-USD代幣在Fswap中換取54萬余枚MC代幣;
2、隨后攻擊者在合約中反復多次貸-還閃電貸以此消耗池子中的MC代幣,使得池中中得MC代幣數量急劇減少,價格也迅速上漲;
3、攻擊者立刻在池子中置換手中的MC代幣獲取大量BSC-USD代幣;
4、攻擊者償還閃電貸,將剩余BSC-USD代幣進行swap,獲利1751枚BNB,最后自毀合約離場。
總結
本次攻擊事件核心是項目方誤將手續費收取方設定為pair合約而不是用戶本身,從而導致池子中的代幣數量能夠被消耗,發生套利風險。
建議項目方在編寫項目時應對函數中的手續費收取邏輯實現進行嚴格的審查,此處應該將手續費收取對象設置為用戶而不是pair合約。
在此提醒項目方發布項目后一定要將私鑰嚴密保管,謹防網絡釣魚。另外,近期各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
千百年來,「簽字畫押」一直都是現實世界中最具法律效力的個人承諾形式,譬如常見的買賣合同、借貸協議、書信請帖等等,只要落款有個人簽名,基本都直接代表簽名方,并可理解為達成經簽名方認可的契約.
1900/1/1 0:00:00區塊鏈瀏覽器TRONSCAN最新數據顯示,截至8月21日,波場TRON賬戶總數達到108,138,612,正式突破1.08億.
1900/1/1 0:00:00據最新消息,TRX已正式登陸Bitso交易所,這是波場TRON又一國際化與合規化新突破。 Huobi Global已上線TRX/USDC及NFT/USDC交易對:據官方消息,Huobi Glob.
1900/1/1 0:00:00北京時間2022年8月2日,CertiK安全團隊監測到NomadBridge遭受攻擊,導致了價值約1.9億美元的損失.
1900/1/1 0:00:00SolanaLabs聯合創始人AnatolyYakovenko宣布了一套產品,旨在挖掘區塊鏈與智能手機集成的潛力.
1900/1/1 0:00:00據全球最大的DeFiTVL聚合器DefiLlama最新數據,JustLend已成為TVL排名前三的借貸協議! YAM開發者:YAM想做DeFi中的對沖基金:9月18日.
1900/1/1 0:00:00