Análise do incidente de ataque de empréstimo flash na Cellframe Network
No dia 1 de junho de 2023, às 10h07min55s (UTC+8), a Cellframe Network foi alvo de um ataque por hackers devido a um problema na contagem do número de tokens durante o processo de migração de liquidez em uma determinada cadeia inteligente. Os hackers lucraram 76.112 dólares.
Análise de Eventos
Os atacantes utilizam a funcionalidade de Empréstimos Flash para obter grandes quantidades de fundos e tokens, manipulando a proporção de tokens no pool de liquidez para executar o ataque.
Processo de ataque
O atacante primeiro obtém 1000 de uma certa criptomoeda e 500000 de tokens New Cell através de Empréstimos Flash.
Trocar todos os tokens New Cell por uma determinada moeda, fazendo com que a quantidade dessa moeda na piscina se aproxime de 0.
Usar 900 de uma certa moeda para trocar por tokens Old Cell.
Antes do ataque, o atacante adicionou Old Cell e a liquidez de uma determinada moeda, obtendo Old lp.
Chame a função de migração de liquidez. Neste momento, quase não há uma determinada moeda no novo pool, e quase não há tokens Old Cell no pool antigo.
Durante o processo de migração, devido ao desequilíbrio na proporção do pool, o atacante consegue obter uma grande quantidade de liquidez a um custo muito baixo.
Por fim, o atacante remove a liquidez do novo pool e troca os tokens Old Cell retornados por uma determinada moeda, completando o lucro.
Causa Raiz
O problema de cálculo durante o processo de migração de liquidez é a causa fundamental deste ataque. A equipe do projeto não considerou adequadamente a situação em que a proporção do pool é manipulada de forma extrema ao projetar o mecanismo de migração.
Sugestões de Segurança
Ao realizar a migração de liquidez, deve-se considerar de forma abrangente a variação na quantidade das duas moedas nos antigos e novos pools e o preço atual.
Evite usar diretamente a quantidade de duas moedas no par de negociação para cálculos, pois isso pode ser manipulado por atacantes.
Realizar uma auditoria de segurança abrangente antes do lançamento do código, especialmente em relação à lógica de operações sensíveis como a migração de liquidez.
Definir limites e mecanismos de verificação razoáveis para prevenir comportamentos de arbitragem em situações extremas.
Este incidente de ataque nos lembra novamente que, ao projetar e implementar protocolos DeFi, é essencial considerar diversos cenários de ataque e adotar medidas de segurança adequadas. Além disso, auditorias de segurança regulares e programas de recompensas por vulnerabilidades também são meios importantes para proteger a segurança do projeto.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Cellframe Network sofreu um ataque de empréstimo flash, hackers lucraram 76 mil dólares.
Análise do incidente de ataque de empréstimo flash na Cellframe Network
No dia 1 de junho de 2023, às 10h07min55s (UTC+8), a Cellframe Network foi alvo de um ataque por hackers devido a um problema na contagem do número de tokens durante o processo de migração de liquidez em uma determinada cadeia inteligente. Os hackers lucraram 76.112 dólares.
Análise de Eventos
Os atacantes utilizam a funcionalidade de Empréstimos Flash para obter grandes quantidades de fundos e tokens, manipulando a proporção de tokens no pool de liquidez para executar o ataque.
Processo de ataque
Causa Raiz
O problema de cálculo durante o processo de migração de liquidez é a causa fundamental deste ataque. A equipe do projeto não considerou adequadamente a situação em que a proporção do pool é manipulada de forma extrema ao projetar o mecanismo de migração.
Sugestões de Segurança
Este incidente de ataque nos lembra novamente que, ao projetar e implementar protocolos DeFi, é essencial considerar diversos cenários de ataque e adotar medidas de segurança adequadas. Além disso, auditorias de segurança regulares e programas de recompensas por vulnerabilidades também são meios importantes para proteger a segurança do projeto.