SharkTeam独家分析 | 只借不还,直至掏空:NowSwap被黑事件分析
source link: https://www.tuoniaox.com/news/p-515393.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
SharkTeam独家分析 | 只借不还,直至掏空:NowSwap被黑事件分析
摘要:
以太坊上的去中心化交易所Nowswap遭到闪电贷攻击,攻击者合计获利100多万美元
北京时间9月15日,以太坊上的去中心化交易所 Nowswap 遭到闪电贷攻击,攻击者掏空了 Nowswap 的流动资金池。Nowswap 的流动资金池规模从 1,069,197 美元缩至 24.15 美元,据悉 Nowswap 仅提供 ETH-USDT 交易对。攻击者获利 53.6万 USDT 和 158 WETH,合计 100 多万美元。
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
一、事件分析
攻击交易:
https://etherscan.io/tx/0xf3158a7ea59586c5570f5532c22e2582ee9adba2408eabe61622595197c50713
攻击合约地址0xa14660a33cc608b902f5bb49c8213bd4c8a4f4ca
攻击者地址0x5676e585bf16387bc159fd4f82416434cda5f1a3
0x9536a78440f72f5e9612949f1848fe5e9d4934cc是NOW-V1合约地址。攻击者通过数值计算漏洞,每次贷出一笔资金,只需要归还贷出资金的十分之一,通过频繁交易,最终将USDT和WETH交易对池中资金掏空。
之后攻击者将所获 53.6万 USDT 通过去中心化交易所 1inch 兑换为 ETH,并转入TornadoCash洗白。官方和社区至今未作出任何回应,不能排除项目方监守自盗的可能。
二、安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。
和2万人一起加入鸵鸟社群
添加QQ群:645991580
添加TG群:鸵鸟中文社区 https://t.me/tuoniaox
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK