前言
北京时间2022年6月13日,知道创宇区块链安全实验室监测到BSC链上的FSwap去中心化交易所项目遭到闪电贷攻击,导致损失1751枚BNB约39万美元。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
基础信息
FSwap是一个去中心化交易所项目,可实现对加密资产的链上高效清算和资产的跨链交易。
百事可乐高管:美国监管Web3的法规已经过时:金色财经报道,百事可乐公司下一代DC连接及创新团队负责人Kate Brady表示,由于美国监管不明确导致公司在实施 Web 3 战略时面临的挑战,当前美国的法规很难遵守,因为根据 1940 年代制定的证券法已经过时并且没有考虑到 Web3 技术,这一监管立场限制了 Web3 加深与客户和受众关系的能力。(cryptosaurus)[2023/4/29 14:33:57]
攻击者地址:0x000c84c59385b64c3ea4d48cc3fca1f08f3abcfc
攻击合约:0x7437e7a923a5b467a197c6fae991f0f0ced9af57
tx:0xe75e30dafd865331e6a002d50effe084c21e413c96d4550d5e09cf647686fcbe
Bingbon官方发布社区一封信:解释近期经常被黑的原因经过和对Bingbon未来发展的计划:6月20日,Bingbon发布《致所有“冰棒”用户的一封信(二)》,Bingbon表示,针对近期“有组织的、有纪律”的散布大量谣言信息,其中包括“跑路”等事件进行以下说明:随着我们的稳步发展,我们发现连续多日有不明机构DDoS攻击冰棒 ,致使部分用户在使用冰棒产品时受到影响。经查,我们发现是友商在从中使绊,这也是我们最不愿意相信的结果。6月8日至6月18日期间我们受到密集的DDoS攻击。仅6月17日当日某机构就购买了2 TB的DDoS攻击。但我们的技术团队24小时在线值守,问题出现的时候都以最快速度去解决问题,之后都很快恢复正常。而某些友商看DDoS攻击冰棒不行,便开始雇佣大量水军在社群私聊用户抹黑我们。不过既然这样也给我们做了警示,今后我们会更加自省,谨言慎行,全部精力用在做有益整个行业的事。[2020/6/21]
FSwapPair合约:0x0d5F1226bd91b5582F6ED54DeeE739CAC49C37Db
动态 | Off-Blocks将推出经过政府测试基于区块链技术的验证工具:数字签名平台Off-Blocks将推出其经过政府测试的基于区块链技术的验证工具。该公司首席执行官Colin Campbell说,该公司周一推出了数字身份移动应用测试版,向公众提供了自11月以来为美国国土安全部(DHS)建立的部分Factom区块链技术支持的防伪机制。整个平台预计将在未来几周内投入使用。[2020/1/14]
漏洞分析
漏洞关键在于FSwapPair合约中的swap方法在每次交易计算手续费时会将pair合约中的储备token当作手续费发送给feeto地址,这将会导致池子中的代币数量减少,从而引起代币价格上涨,攻击者能够从中套利。
声音 | 迅雷集团CEO陈磊:互联网野蛮生长时代已经过去,区块链将开启新的时代:12月7日,由中国科学院学部主办、中国信息通信研究院等单位联合支持的“区块链技术与应用”科学与技术前沿论坛在深圳开幕。中国科学院信息技术科学部郑志明院士、数学物理学部王小云院士等四位院士发表主题演讲,同时还有300余名来自政府和企业界的代表出席会议,围绕区块链与数字身份、监管科技、金融应用等话题展开讨论。会上迅雷集团首席执行官陈磊表示,互联网野蛮生长的时代已经过去,一个业态应该有自己生长的逻辑,而不只是通过攫取用户的时长来获取利益。在他看来,互联网带来的诸多问题也是技术问题,而区块链是给互联网带来秩序、规则和信任的典型技术手段。它的公开透明、可追溯、不可篡改曾特性,让互联网上的数据变得可信、可管理、有序共享,特别是“区块链+物联网”有望打破数据孤岛,因而有广泛应用场景。目前迅雷区块链技术在金融征信、教育、版权、物联网等领域都有应用。[2019/12/7]
攻击流程
1、攻击者使用闪电贷在BiSwap中贷款300万枚BSC-USD代币,并使用255万枚BSC-USD代币在Fswap中换取54万余枚MC代币;
2、随后攻击者在合约中反复多次贷-还闪电贷以此消耗池子中的MC代币,使得池中中得MC代币数量急剧减少,价格也迅速上涨;
3、攻击者立刻在池子中置换手中的MC代币获取大量BSC-USD代币;
4、攻击者偿还闪电贷,将剩余BSC-USD代币进行swap,获利1751枚BNB,最后自毁合约离场。
总结
本次攻击事件核心是项目方误将手续费收取方设定为pair合约而不是用户本身,从而导致池子中的代币数量能够被消耗,发生套利风险。
建议项目方在编写项目时应对函数中的手续费收取逻辑实现进行严格的审查,此处应该将手续费收取对象设置为用户而不是pair合约。
在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼。另外,近期各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
很高兴,我们在2022年7月25日发布了OlaVM,一个EVM兼容的ZKVM方案。由于ZKEVM本身一直是个热门的赛道,所以OlaVM一经发布,就很荣幸的受到了行业内大佬们的一些关注.
1900/1/1 0:00:00May.2022,VincyDataSource:FootprintAnalytics-Web3Dashboard从FootprintAnalytics融资数据来看,区块链行业的Web3的崛起.
1900/1/1 0:00:005月6日,波场联合储备宣布AlamedaResearch成为其首位成员及白名单机构,有权铸造去中心化算法稳定币USDD。USDD是由数学模型与算法支撑的完全去中心化稳定币.
1900/1/1 0:00:00目前NFT市场遍地开花,截止到今天,以太坊链上NFT销售总额突破240亿美元,创下历史新高,较1月份增速20%,链上交易数量突破900万笔.
1900/1/1 0:00:002022年8月1日,香港区块链协会HKBA正式宣布进驻CryptoHongKongMetaCity,并支持HKC作为支付HKBA会费及HKBA元宇宙教育学院Edi.College学员费用的方式之一.
1900/1/1 0:00:00前言 五月以来,币价虽然在不断下滑然而发生的安全事件的数量却在显著攀升,据知道创宇区块链安全实验室数据显示:该月发生的安全事件超37起,其中跑路局和网络钓鱼事件频发,而Terra生态的原生算法稳定币UST因资本围猎和债务危机.
1900/1/1 0:00:00