前言
北京时间 2022 年 5 月 16 日,知道创宇区块链安全实验室 监测到多链 DeFi 协议 FEG 遭到闪电贷攻击,攻击者窃取 144 ETH 和 3280 BNB,损失约 130 万美元。
5 月 17 日,多链 DeFi 协议 FEG 再次受到攻击,攻击者窃取 291 ETH 和 4343 BNB,损失约 190 万美元,其中 BSC 130 万美元,以太坊链 60 万美元。
分析
该协议在 BSC 和 Ether 上都被攻击了,下面的图分别是两链上的攻击事件交易哈希。本次攻击事件主要原因是 swapToSwap() 函数中 path 地址可被攻击者控制。
基础信息
攻击合约:0x9a843bb125a3c03f496cb44653741f2cef82f445
攻击者地址:0x73b359d5da488eb2e97990619976f2f004e9ff7c
漏洞合约地址:
BSC: 0x818e2013dd7d9bf4547aaabf6b617c1262578bc7