經過安全審計的FSwap項目，黑客如何還能有機可乘？_SWAP:區塊鏈可以看著是什么

前言

北京時間2022年6月13日，知道創宇區塊鏈安全實驗室?監測到BSC鏈上的FSwap去中心化交易所項目遭到閃電貸攻擊，導致損失1751枚BNB約39萬美元。

知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

基礎信息

FSwap是一個去中心化交易所項目，可實現對加密資產的鏈上高效清算和資產的跨鏈交易。

萬卉：單點事件直接影響比特幣價格的時代已經過去:對于一些網友認為單個事件直接帶來比特幣利好的現象，Primitive Ventures創始合伙人萬卉發微博進行反駁：都2020年了，怎么還有人天真的把單點事件簡單歸納為“直接的價格利好”？比特幣發展到現在，早就不是那個mtgox一家獨大幾個交易員就可以控制市場一個聽證會就可以影響價格的百分之幾十的時候了。持幣者越分散，越難形成價格共識。312是流動性危機，而非單點事件造成單邊價格變化。所以312 Bitmex拔網線了就立刻止跌了。價格在短期總和價值背離，長期必然耦合。所以在背離的時候才有價值洼地，才有套利的空間。[2020/8/18]

攻擊者地址：0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc

金色財經現場報道 薛蠻子：非理性的區塊鏈野蠻生長時代已經過去 不是所有的人都能喝到泡沫下面的啤酒 :金色財經現場報道，在今天的2018全球區塊鏈高峰論壇上，中國天使投資第一人、蠻子基金創始人薛蠻子做了主旨演講，薛蠻子說：電子郵箱為互聯網提供了殺手級的應用讓互聯網，微信為移動互聯網提供了殺手級的應用，區塊鏈也需要殺手級的應用。目前唯一的區塊鏈殺手級應用就是比特幣。當前區塊鏈的基礎設施，公鏈運載較慢，能夠承載的交易有限，希望區塊鏈3.0帶來真正的應用。未來的區塊鏈能夠真正帶來便利與效率，豐富人生體驗，造福人類，這是區塊鏈的最大的挑戰和機會。薛蠻子指出，發幣并不因為著帶來了場景，并不意味著項目的落地。非理性的區塊鏈野蠻生長時代已經過去，下一代新的區塊鏈公司，一定是有實際落地場景，有自己的獨創，有自己的專利和IP。盡管區塊鏈的“泡沫”下面是“啤酒”，但不是所有的人都能喝到泡沫下面的啤酒。[2018/4/29]

攻擊合約：0x7437e7a923a5b467a197c6fae991f0f0ced9af57

投資公司認為比特幣經過此次跌幅之后會保持穩定:據報道，投資公司Fundstrat預計，比特幣幣值將在8500美元至9000美元之間波動，短期內不會超過10200美元。該投資公司預計，比特幣在2018年年中的目標價為11500美元。[2017/11/30]

tx：0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe

FSwapPair合約：0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db

漏洞分析

漏洞關鍵在于FSwapPair合約中的swap方法在每次交易計算手續費時會將pair合約中的儲備token當作手續費發送給feeto地址，這將會導致池子中的代幣數量減少，從而引起代幣價格上漲，攻擊者能夠從中套利。

攻擊流程

1、攻擊者使用閃電貸在BiSwap中貸款300萬枚BSC-USD代幣，并使用255萬枚BSC-USD代幣在Fswap中換取54萬余枚MC代幣;

2、隨后攻擊者在合約中反復多次貸-還閃電貸以此消耗池子中的MC代幣，使得池中中得MC代幣數量急劇減少，價格也迅速上漲；

3、攻擊者立刻在池子中置換手中的MC代幣獲取大量BSC-USD代幣；

4、攻擊者償還閃電貸，將剩余BSC-USD代幣進行swap，獲利1751枚BNB，最后自毀合約離場。

總結

本次攻擊事件核心是項目方誤將手續費收取方設定為pair合約而不是用戶本身，從而導致池子中的代幣數量能夠被消耗，發生套利風險。

建議項目方在編寫項目時應對函數中的手續費收取邏輯實現進行嚴格的審查，此處應該將手續費收取對象設置為用戶而不是pair合約。

在此提醒項目方發布項目后一定要將私鑰嚴密保管，謹防網絡釣魚。另外，近期各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：區塊鏈SWAP比特幣FSW區塊鏈可以看著是什么MSWAP幣穿越回2009年怎么買比特幣FSW價格

萊特幣