Аналіз інциденту атаки на Cellframe Network за допомогою термінових позик
1 червня 2023 року о 10:07:55 (UTC+8) мережа Cellframe зазнала хакерської атаки через проблеми з обчисленням кількості токенів під час процесу міграції ліквідності на певному смарт-ланцюгу. Хакер отримав прибуток у 76,112 доларів.
Аналіз події
Зловмисники використовують Термінові позики для отримання великої кількості коштів і токенів, маніпулюючи співвідношенням токенів у ліквідності для здійснення атаки.
Процес атаки
Атакуючий спочатку отримує 1000 одиниць певної криптовалюти та 500000 токенів New Cell через Термінові позики.
Обміняти всі токени New Cell на певну валюту, внаслідок чого кількість цієї валюти в пулі наблизиться до 0.
Обміняти 900 одиниць певної валюти на токени Old Cell.
Перед атакою зловмисник додав Old Cell та ліквідність певної монети, отримавши Old lp.
Виклик функції міграції ліквідності. На даний момент у новому пулі практично немає певного токена, а в старому пулі практично немає токенів Old Cell.
Під час міграції, через дисбаланс у пропорціях пулу, зловмисник може отримати велику кількість ліквідності за дуже низькою ціною.
В кінці, зловмисник видаляє ліквідність нового пулу і обмінює токени Old Cell, які повернулися після міграції, на якусь валюту, завершуючи отримання прибутку.
Основна причина
Проблеми з обчисленнями під час процесу міграції ліквідності є основною причиною цієї атаки. Розробники проекту не врахували ситуацію, коли пропорції в пулі можуть бути екстремально маніпульовані.
Рекомендації з безпеки
Під час міграції ліквідності слід враховувати зміни кількості двох токенів у новому та старому пулі, а також їх поточну ціну.
Уникайте прямого використання кількості двох монет у торговій парі для розрахунків, оскільки це легко може бути маніпульовано зловмисниками.
Провести всебічний аудит безпеки перед запуском коду, особливо щодо логіки чутливих операцій, таких як міграція ліквідності.
Встановіть розумні обмеження та механізми перевірки, щоб запобігти арбітражним діям у крайніх випадках.
Ця атака ще раз нагадує нам, що при проєктуванні та реалізації DeFi-протоколів необхідно ретельно враховувати різні сценарії атак і вжити відповідних заходів безпеки. Водночас регулярні аудити безпеки та програми винагород за вразливості також є важливими засобами захисту безпеки проєкту.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Cellframe Network зазнав флеш-атаки, Хакер арбітражив 7.6 тисяч доларів США
Аналіз інциденту атаки на Cellframe Network за допомогою термінових позик
1 червня 2023 року о 10:07:55 (UTC+8) мережа Cellframe зазнала хакерської атаки через проблеми з обчисленням кількості токенів під час процесу міграції ліквідності на певному смарт-ланцюгу. Хакер отримав прибуток у 76,112 доларів.
Аналіз події
Зловмисники використовують Термінові позики для отримання великої кількості коштів і токенів, маніпулюючи співвідношенням токенів у ліквідності для здійснення атаки.
Процес атаки
Основна причина
Проблеми з обчисленнями під час процесу міграції ліквідності є основною причиною цієї атаки. Розробники проекту не врахували ситуацію, коли пропорції в пулі можуть бути екстремально маніпульовані.
Рекомендації з безпеки
Ця атака ще раз нагадує нам, що при проєктуванні та реалізації DeFi-протоколів необхідно ретельно враховувати різні сценарії атак і вжити відповідних заходів безпеки. Водночас регулярні аудити безпеки та програми винагород за вразливості також є важливими засобами захисту безпеки проєкту.