2022年5月16日和17日,多链DeFi协议FEG在BSC和以太坊上相继遭到攻击,损失总计约320万美元。攻击者通过闪电贷和恶意path地址利用swapToSwap()函数漏洞,反复授权并转移合约内的fBNB。建议合约开发者加强对传入参数的校验。
前言
北京时间 2022 年 5 月 16 日,知道创宇区块链安全实验室 监测到多链 DeFi 协议 FEG 遭到闪电贷攻击,攻击者窃取 144 ETH 和 3280 BNB,损失约 130 万美元。
5 月 17 日,多链 DeFi 协议 FEG 再次受到攻击,攻击者窃取 291 ETH 和 4343 BNB,损失约 190 万美元,其中 BSC 130 万美元,以太坊链 60 万美元。
分析
该协议在 BSC 和 Ether 上都被攻击了,下面的图分别是两链上的攻击事件交易哈希。本次攻击事件主要原因是 swapToSwap() 函数中 path 地址可被攻击者控制。
基础信息
攻击合约:0x9a843bb125a3c03f496cb44653741f2cef82f445
攻击者地址:0x73b359d5da488eb2e97990619976f2f004e9ff7c
漏洞合约地址:
BSC: 0x818e2013dd7d9bf4547aaabf6b617c1262578bc7
最低0.47元/天 解锁文章
扫一扫
2193
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
