SwapX漏洞损失了多少资产？SwapX漏洞为什么出现？

SwapX凭借着新奇挖矿方式出圈，吸引了不少用户，但是SwapX因为账户问题，导致出现漏洞，损失了大约100万美元，此前SwapX延续了Uniswap核心的AMM(自动做市商)设计理念，同时借鉴了SushiSwap支持Uniswap Pool Token Staking的挖矿模式，SwapX不仅仅支持Uniswap的LPToken挖矿，还可支持Balancer、Curve等头部DEX的LPToken挖矿，不仅如此，SwapX还在模式上做了重大突破，创新提出PairToken，这样看的话，SwapX的实力应该是比较强的，但现在投资者依旧好奇SwapX漏洞损失了多少资产？以及SwapX漏洞为什么出现？下文211Coin小编为大家详细解答。

SwapX漏洞损失了多少资产？

据CertiK监测,SwapX漏洞总共损失了约100万美元。CeritK安全专家总共发现了四个与该漏洞相关的外部账户EOA。目前攻击者已获利313,000美元,请用户保持警惕。

在SwapX上，每个人都可以申请开设独立的流动性池，创建PairToken。即每一个流动性池都有PairToken，PairToken代表了对流动性池的治理权和平台治理币SWP的分配权。即LP在SwapX平台不仅可以获得交易手续费，同时还可获得PairToken、SWP。若LP先前已在Uniswap、Balancer、Curve等平台获得过激励，在SwapX平台上，可额外再获激励。

PairToken是SwapX独有的创新亮点。每一个认证的流动池均享有，PairToken不仅可自由交易，还可分得交易手续费和获得SWP，即用户提供一次流动性即可获得交易手续费、PairToken、SWP。

SwapX漏洞为什么出现？

SharkTeam对此事件第一时间进行了技术分析，并总结了安全防范手段，希望后续项目可以引以为戒，共筑区块链行业的安全防线。

一、事件分析

攻击者账户地址：0x7d192fa3a48c307100c3e663050291fff786aa1f，简记为0x7d19

攻击合约地址：0xc4bea60f5644b20ebb4576e34d84854f9588a7e2，简记为0xc4be

被攻击合约地址：0x6d8981847eb3cc2234179d0f0e72f6b6b2421a01，简记为：0x6d89

攻击过程如下：

其中，攻击交易的txHash为：

0x3ee23c1585474eaa4f976313cafbc09461abb781d263547c8397788c68a00160

(1)查询0x0b70BUSD对0x6d18授权的额度allowance

(2)将0x0b70授权的BUSD转入BUSD/WBNB交易对，通过swap函数兑换成WBNB；

(3)将WBNB转入WBNB/DND交易对，通过swap函数兑换成DND并返还给0x0b70。

通过以上两步，攻击者利用了0x0b70的授权，通过两次代币兑换抬高了DND/WBNB交易对中的DND的价格。

同样地，攻击者多次利用其他账户地址的授权，进一步抬高交易对DND/WBNB交易对中DND的价格。

最后，攻击者通过DND/WBNB交易对将最初的100万DND兑换成了739.64WBNB，实现最终获利。

从整个攻击过程中，攻击者利用了各个账户的BUSD对被攻击合约0x6d89的授权，然后通过swap抬高了DND的价格。攻击原因很可能是被攻击合约0x6d89中存在权限校验漏洞，这使得攻击者可以利用该漏洞转移授权的BUSD并实现操纵价格，也可能是被攻击合约没有考虑代币授权对交易池价格的影响。

二、安全建议

针对代币授权(批准)带来的风险，建议：

(1)取消全额授权的情况，根据每次交易交易的金额进行授权；

(2)在交易结束时取消授权；

(3)在合约(如DEX合约)功能设计和实现时，要考虑代币授权的影响，避免价格被操纵的情况；

(4)请专业的审计团队对智能合约进行审计。

以上内容为大家解答了SwapX漏洞损失了多少资产？以及SwapX漏洞为什么出现？SwapX首先为Uniswap、Balancer、Curve等头部DEX的流动性提供者，提供了赚取平台治理币SWP的机会，这意味着当流动性提供者分别在Uniswap、Balancer、Curve完成流动性提供，获得交易费之后，凭其LPToken，还可在SwapX上继续Staking，获得第一次SWP，进而又获得交易费，加上PairToken收益和持有PairToken挖矿获得第二次SWP收益，即可额外将四重收益收入囊中，最大程度获取更多收益可能，但是现在SwapX面临安全隐患，需要及时调整。