SharkTeam独家分析 | 闪电贷，只借不还?! Heco上XDXSwap闪电贷攻击事件分析

北京时间2021年7月2日，火币生态链（Heco）上 DeFi 项目XDXSwap受到闪电贷攻击。损失约400万美金。

SharkTeam 第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

一、事件分析

1. 攻击合约向ETH-WHT交易对合约转账1wei的WHT

2. 攻击合约向ETH-WHT交易对合约中转账约376e18的假币

3. 攻击合约调用ETH-WHT交易对中的swap函数做闪电贷，借贷了1.816 ETH。

实际并上并没有还款，因为闪电贷合约存在漏洞，具体如下：

在步骤1中转入的1 wei的WHT，保证了token0是有输入的，输入为1 wei，闪电贷检查条件成立。攻击者只是使用了1wei 的WHT就兑换了1.816 ETH。同时使得储备金中ETH 数量减少，于是ETH兑换WHT的价格上涨。接下来，攻击用使用同样的办法在 ETH-WHT交易对中使用1wei ETH兑换了376.778 WHT。攻击者使用同样的方法共攻击了11个交易对。共获利约400万USDT。

问题原因分析：闪电贷的功能实现合约，存在借出不还的严重漏洞，造成用户的巨额损失，是项目方fork Uniswap合约代码并修改时引入的严重漏洞（无意/有意？）

二、安全建议

此次事件是又一次与 闪电贷 有关的安全事件，闪电贷攻击的战场已经从以太坊、BSC，蔓延到了Heco、Ploygon等平台。

DeFi项目的业务逻辑设计复杂，涉及的经济学计算和参数较多，却不同项目和协议之间可组合性极其丰富，很难预测，非常容易出现安全漏洞。如下表，利用闪电贷这种新型产品进行攻击的DeFi事件在过去的一年里层出不穷，已增加到28起。通常闪电贷攻击包括“哄抬套利”、“操纵预言机”、“重入攻击”和“技术漏洞”四种。本次属于基于“技术漏洞”的黑客攻击。

智能合约安全关系用户的财产安全，至关重要！区块链项目开发者应与专业的安全审计公司合作，避免合约中的状态和计算错误，为用户的数字资产安全和项目本身安全提供保障。

SharkTeam作为领先的区块链安全服务团队，为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成，满足不同客户需求，独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面数百项审计内容，全面保障智能合约安全。

SharkTeam为客户提供高级别的区块链安全服务，区块链安全专家团队7*24小时为智能合约提供全生命周期的安全保障，服务包括：VIP安全审计服务、VIP合规审计服务、安全事故应急响应等。

SharkTeam也提供自动化审计工具，自动化审计以云服务的方式为用户提供服务。运用符号执行、形式化验证等智能合约分析技术，满足开发者智能合约日常审计需求。

==

和2万人一起加入鸵鸟社群

添加QQ群：645991580

添加TG群：鸵鸟中文社区https://t.me/tuoniaox