序文

序文

北京時間の2022年6月13日、Zhichuangyu Blockchain Security Labは、BSCチェーン上のFSwap分散型取引所プロジェクトがフラッシュローンによって攻撃され、その結果1,751BNB、約39万米ドルの損失が発生したことを監視した。

Chuangyu Blockchain Security Lab がこの事件を初めて追跡し、分析したことを知りました。

基本情報

FSwap は、暗号化された資産の効率的なオンチェーン清算と資産のクロスチェーン取引を可能にする分散型取引所プロジェクトです。

攻撃者のアドレス: 0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc

tx：0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe

FSwapPair コントラクト: 0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db

脆弱性分析

脆弱性分析

この脆弱性の鍵となるのは、FSwapPair コントラクトのスワップメソッドが、各トランザクションの手数料を計算する際に、ペアコントラクト内のリザーブトークンを手数料として feedo アドレスに送信することで、トランザクション数の減少につながることです。プール内のトークンが増加し、トークンの価格が上昇し、攻撃者はそれを裁定取引できるようになります。

攻撃プロセス

1. 攻撃者はフラッシュ ローンを使用して BiSwap で 300 万 BSC-USD トークンを融資し、255 万 BSC-USD トークンを Fswap で 540,000 以上の MC トークンと交換しました。

2. その後、攻撃者は契約内のフラッシュローンの借り入れと返済を繰り返してプール内のMCトークンを消費し、プール内のMCトークンの数が激減し、価格が急激に上昇しました。

4. 攻撃者はフラッシュ ローンを返済し、残りの BSC-USD トークンを交換し、1751 BNB を獲得し、最終的に契約を自己破棄して市場から退出します。

要約する

要約する

この攻撃の核心は、プロジェクト当事者が誤ってユーザー自身ではなく料金徴収者をペア契約として設定したことで、プール内のトークンが消費され、アービトラージのリスクが生じたということです。

プロジェクト当事者は、プロジェクト作成時に関数内の料金徴収ロジックの実装を厳密に検討し、料金徴収オブジェクトをペア コントラクトではなくユーザーに設定することをお勧めします。