慢雾发布LeetSwap被黑简析，攻击者获利62.4万美金

GATE.IO芝麻开门

GATE.IO芝麻开门交易所(原比特儿交易所)是全球前10的交易所，新用户注册可免费领取空投，每月可得50-200U

点击注册 更多入口

更多交易所入口

一站式注册各大交易所、点击进入加密世界、永不失联，币安Binance/欧易OKX/GATE.IO芝麻开门/Bitget/抹茶MEXC/火币Huobi

点击进入 永不失联

据慢雾安全团队情报，2023年8月1日，Base链上的去中心化交易平台LeetSwap遭到攻击，攻击者获利约62.4万美金，攻击路径如下：
本次被攻击的主要原因是在Pair合约中，_transferFeesSupportingTaxTokens函数外部可调用，该函数可以转移合约中的任意数量的指定代币到收取手续费的地址。于是攻击者首先进行一次正常的小额swap操作以获取下一次swap时所需的代币，紧接着调用_transferFeesSupportingTaxTokens函数将Pair中的其中一方代币几乎全部转移给了收取手续费的地址，从而使得Pair的流动性失衡。最后再调用sync函数平衡池子后反向swap套取超出预期的ETH。