前言

前言

前言

前言

北京時間2022 年6 月13 日，知道創宇區塊鏈安全實驗室監測到BSC 鏈上的FSwap 去中心化交易所項目遭到閃電貸攻擊，導致損失1751 枚BNB 約39 萬美元。

知道創宇區塊鏈安全實驗室第一時間跟踪本次事件並分析。

基礎信息

tx：0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe

FSwapPair合約：0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db

漏洞分析

漏洞分析

漏洞分析

漏洞分析

漏洞關鍵在於FSwapPair 合約中的swap 方法在每次交易計算手續費時會將pair 合約中的儲備token 當作手續費發送給feeto 地址，這將會導致池子中的代幣數量減少，從而引起代幣價格上漲，攻擊者能夠從中套利。

攻擊流程

4、攻擊者償還閃電貸，將剩餘BSC-USD 代幣進行swap，獲利1751 枚BNB，最後自毀合約離場。

總結

總結

總結

總結