FSW:经过安全审计的FSwap项目，黑客如何还能有机可乘？_stETH

前言

北京时间2022年6月13日，知道创宇区块链安全实验室?监测到BSC链上的FSwap去中心化交易所项目遭到闪电贷攻击，导致损失1751枚BNB约39万美元。

知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

基础信息

FSwap是一个去中心化交易所项目，可实现对加密资产的链上高效清算和资产的跨链交易。

KuCoin将于今日17:30上线热门项目CLV，现已开放充值:据KuCoin官方公告，KuCoin宣布上线Clover Finance(CLV)项目并支持CLV/USDT交易对，CLV的充值服务现已开放，将于今日17:30正式开放交易。Clover Finance(CLV)为开发人员提供了将DeFi应用程序从以太坊兼容到Polkadot(波卡)的桥梁。KuCoin旨在发掘优质区块链项目，为来自207个国家的800万用户提供现货、杠杆、合约、Staking、借贷等一站式服务。[2021/7/16 0:57:15]

攻击者地址：0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc

MXC上线KuCoin，开盘上涨73.23%:据KuCoin(库币)消息称，KuCoin已上线MXC(MXC)项目并支持MXC/USDT交易对。MXC开盘价为0.021USDT，当前报价0.036USDT，上线涨幅73.23%。

MXC极域联合数据高速公路的社群成员将会最终被激励来营运基于Polkadot（波卡）的数据跨链平行链，也是波卡生态唯一一个物联网平行链。

KuCoin(库币)旨在发掘全球优质区块链项目，为来自207个国家的800万用户提供币币、法币、杠杆、合约、矿池、借贷等一站式服务。[2021/5/19 22:20:20]

攻击合约：0x7437e7a923a5b467a197c6fae991f0f0ced9af57

动态 | KuCoin交易所成为niTROn SUMMIT 2020特别赞助商:据官方最新信息，加密货币交易所KuCoin成为niTROn SUMMIT 2020特别赞助商。由波场TRON官方举办的世界区块链行业年度综合性峰会niTROn SUMMIT 2020将在2020年2月29日至3月1日两日于韩国首尔举行，峰会汇聚全球开发者、交易所、项目方、矿池、投资方，共同交流区块链未来发展方向。详情可查看原文链接。[2020/1/13]

tx：0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe

FSwapPair合约：0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db

漏洞分析

漏洞关键在于FSwapPair合约中的swap方法在每次交易计算手续费时会将pair合约中的储备token当作手续费发送给feeto地址，这将会导致池子中的代币数量减少，从而引起代币价格上涨，攻击者能够从中套利。

攻击流程

1、攻击者使用闪电贷在BiSwap中贷款300万枚BSC-USD代币，并使用255万枚BSC-USD代币在Fswap中换取54万余枚MC代币;

2、随后攻击者在合约中反复多次贷-还闪电贷以此消耗池子中的MC代币，使得池中中得MC代币数量急剧减少，价格也迅速上涨；

3、攻击者立刻在池子中置换手中的MC代币获取大量BSC-USD代币；

4、攻击者偿还闪电贷，将剩余BSC-USD代币进行swap，获利1751枚BNB，最后自毁合约离场。

总结

本次攻击事件核心是项目方误将手续费收取方设定为pair合约而不是用户本身，从而导致池子中的代币数量能够被消耗，发生套利风险。

建议项目方在编写项目时应对函数中的手续费收取逻辑实现进行严格的审查，此处应该将手续费收取对象设置为用户而不是pair合约。

在此提醒项目方发布项目后一定要将私钥严密保管，谨防网络钓鱼。另外，近期各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：FSWCOINTETstETHFSW币ZrCointether币怎么买steth币今日价格

以太坊交易所热门资讯