SharkTeam独家分析 | 只借不还，直至掏空：NowSwap被黑事件分析

北京时间9月15日，以太坊上的去中心化交易所 Nowswap 遭到闪电贷攻击，攻击者掏空了 Nowswap 的流动资金池。Nowswap 的流动资金池规模从 1,069,197 美元缩至 24.15 美元，据悉 Nowswap 仅提供 ETH-USDT 交易对。攻击者获利 53.6万 USDT 和 158 WETH，合计 100 多万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

一、事件分析

攻击交易：

https://etherscan.io/tx/0xf3158a7ea59586c5570f5532c22e2582ee9adba2408eabe61622595197c50713

攻击合约地址0xa14660a33cc608b902f5bb49c8213bd4c8a4f4ca

攻击者地址0x5676e585bf16387bc159fd4f82416434cda5f1a3

0x9536a78440f72f5e9612949f1848fe5e9d4934cc是NOW-V1合约地址。攻击者通过数值计算漏洞，每次贷出一笔资金，只需要归还贷出资金的十分之一，通过频繁交易，最终将USDT和WETH交易对池中资金掏空。

之后攻击者将所获 53.6万 USDT 通过去中心化交易所 1inch 兑换为 ETH，并转入TornadoCash洗白。官方和社区至今未作出任何回应，不能排除项目方监守自盗的可能。

二、安全建议

SharkTeam 提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。

SharkTeam作为领先的区块链安全服务团队，为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成，满足不同客户需求，独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容，全面保障智能合约安全。

=

添加TG群：鸵鸟中文社区 https://t.me/tuoniaox