复盘Nowswap闪电贷攻击事件：是谁掏空了 Nowswap？

9月15日，PeckShield「派盾」预警显示，以太坊上的去中心化交易所 Nowswap 遭到闪电贷攻击，攻击者掏空了 Nowswap 的流动资金池。

Nowswap 的流动资金池规模从 1,069,197 美元缩至 24.15 美元，据悉 Nowswap 仅提供 ETH-USDT 交易对。攻击者获利 53.6万 USDT 和 158 WETH，合计 100 多万美元。

PeckShield「派盾」分析发现，攻击者利用 Nowswap USDT/WETH 交易对合约中的 K 值验证漏洞，进行多次兑换，每次兑换获得正常应得兑出资产的多倍，直至将交易对池子中的资产薅光。

攻击者将所获 53.6万 USDT 通过去中心化交易所 1inch 兑换为 ETH，并转入去中心化隐私服务器 TornadoCash 进行进一步清洗。

整个攻击到转入 TornadoCash 洗白，再到攻击被发现的几小时内，社区没有一点响应。

这是一场精心策划的内部作案还是一次偶然的攻击？种种迹象令人生疑。

1. 攻击者共进行 60 次操作，每次操作都包含精准的债务计算，这需要研究团队花费一定的时间才能做到恰好掏空整个池子；

2. 项目热度过于低，一般很难令人注意到，且仅支持「有价的」ETH-USDT 交易对；

3. 项目代码未开源。

在 DeFi 资产规模快速增长至逾 1,700 万美元以后，开发人员陷入了激烈的竞争，贪婪也开始与日俱增，老鼠仓、内部作恶、内外勾结…….台面下的交易还能在匿名斗篷下维持多长时间？