SharkTeam独家分析 | 只借不还,直至掏空:NowSwap被黑事件分析
北京时间9月15日,以太坊上的去中心化交易所 Nowswap 遭到闪电贷攻击,攻击者掏空了 Nowswap 的流动资金池。Nowswap 的流动资金池规模从 1,069,197 美元缩至 24.15 美元,据悉 Nowswap 仅提供 ETH-USDT 交易对。攻击者获利 53.6万 USDT 和 158 WETH,合计 100 多万美元。
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
一、事件分析
攻击交易:
https://etherscan.io/tx/0xf3158a7ea59586c5570f5532c22e2582ee9adba2408eabe61622595197c50713
攻击合约地址0xa14660a33cc608b902f5bb49c8213bd4c8a4f4ca
攻击者地址0x5676e585bf16387bc159fd4f82416434cda5f1a3
0x9536a78440f72f5e9612949f1848fe5e9d4934cc是NOW-V1合约地址。攻击者通过数值计算漏洞,每次贷出一笔资金,只需要归还贷出资金的十分之一,通过频繁交易,最终将USDT和WETH交易对池中资金掏空。
之后攻击者将所获 53.6万 USDT 通过去中心化交易所 1inch 兑换为 ETH,并转入TornadoCash洗白。官方和社区至今未作出任何回应,不能排除项目方监守自盗的可能。
二、安全建议
SharkTeam 提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。
=
添加TG群:鸵鸟中文社区 https://t.me/tuoniaox