慢雾发布LeetSwap被黑简析，攻击者获利62.4万美金

CoinON消息，据慢雾安全团队情报，2023年8月1日，Base链上的去中心化交易平台LeetSwap遭到攻击，攻击者获利约62.4万美金，攻击路径如下：

本次被攻击的主要原因是在Pair合约中，_transferFeesSupportingTaxTokens函数外部可调用，该函数可以转移合约中的任意数量的指定代币到收取手续费的地址。于是攻击者首先进行一次正常的小额swap操作以获取下一次swap时所需的代币，紧接着调用_transferFeesSupportingTaxTokens函数将Pair中的其中一方代币几乎全部转移给了收取手续费的地址，从而使得Pair的流动性失衡。**再调用sync函数平衡池子后反向swap套取超出预期的ETH。

本文由会员发布，不代表本站立场，如有侵权请联系我们删除！