Phân tích sự kiện Cellframe Network遭遇cuộc tấn công cho vay chớp nhoáng
Vào lúc 10 giờ 7 phút 55 giây (UTC+8) ngày 1 tháng 6 năm 2023, Cellframe Network đã bị tấn công bởi hacker trên một chuỗi thông minh do vấn đề tính toán số lượng token trong quá trình di chuyển tính thanh khoản. Hacker đã thu về 76,112 USD.
Phân tích sự kiện
Kẻ tấn công lợi dụng chức năng Khoản vay nhanh để thu hút một lượng lớn vốn và token, thông qua việc thao túng tỷ lệ token trong các bể thanh khoản để thực hiện cuộc tấn công.
Quy trình tấn công
Kẻ tấn công trước tiên đã nhận được 1000 đồng tiền nào đó và 500000 token New Cell thông qua Khoản vay nhanh.
Chuyển đổi tất cả các token New Cell thành một loại tiền tệ nào đó, dẫn đến số lượng loại tiền tệ đó trong pool gần bằng 0.
Sử dụng 900 đơn vị của một loại tiền tệ nào đó để đổi lấy token Old Cell.
Trước khi tấn công, kẻ tấn công đã thêm Old Cell và tính thanh khoản của một loại tiền, nhận được Old lp.
Gọi hàm di chuyển thanh khoản. Lúc này, trong bể mới gần như không có loại tiền nào, trong bể cũ gần như không có token Old Cell.
Trong quá trình di chuyển, do tỷ lệ của bể không cân bằng, kẻ tấn công có thể thu được một lượng lớn thanh khoản với chi phí rất thấp.
Cuối cùng, kẻ tấn công loại bỏ tính thanh khoản của bể mới và đổi các mã thông báo Old Cell được trả về sang một loại tiền tệ nào đó, hoàn thành việc kiếm lời.
Nguyên nhân gốc
Vấn đề tính toán trong quá trình di chuyển thanh khoản là nguyên nhân cơ bản của cuộc tấn công này. Đội ngũ dự án khi thiết kế cơ chế di chuyển đã không xem xét đầy đủ tới tình huống tỷ lệ trong hồ bị thao túng một cách cực đoan.
Lời khuyên về an toàn
Khi tiến hành di chuyển thanh khoản, cần xem xét tổng thể sự thay đổi số lượng của hai loại token trong bể cũ và bể mới cùng với giá hiện tại.
Tránh việc sử dụng trực tiếp số lượng của hai đồng tiền trong cặp giao dịch để tính toán, điều này dễ bị kẻ tấn công thao túng.
Thực hiện kiểm toán an ninh toàn diện trước khi mã được triển khai, đặc biệt là đối với logic của các hoạt động nhạy cảm như di chuyển tính thanh khoản.
Thiết lập các giới hạn hợp lý và cơ chế kiểm tra để ngăn chặn các hành vi chênh lệch giá trong các trường hợp cực đoan.
Sự kiện tấn công lần này một lần nữa nhắc nhở chúng ta rằng, khi thiết kế và triển khai các giao thức DeFi, cần phải xem xét đầy đủ các kịch bản tấn công khác nhau và thực hiện các biện pháp an ninh tương ứng. Đồng thời, việc kiểm toán an ninh định kỳ và chương trình thưởng lỗi cũng là những phương tiện quan trọng để bảo vệ an toàn cho dự án.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Cellframe Network遭cuộc tấn công cho vay chớp nhoáng HackerKinh doanh chênh lệch giá7.6万美元
Phân tích sự kiện Cellframe Network遭遇cuộc tấn công cho vay chớp nhoáng
Vào lúc 10 giờ 7 phút 55 giây (UTC+8) ngày 1 tháng 6 năm 2023, Cellframe Network đã bị tấn công bởi hacker trên một chuỗi thông minh do vấn đề tính toán số lượng token trong quá trình di chuyển tính thanh khoản. Hacker đã thu về 76,112 USD.
Phân tích sự kiện
Kẻ tấn công lợi dụng chức năng Khoản vay nhanh để thu hút một lượng lớn vốn và token, thông qua việc thao túng tỷ lệ token trong các bể thanh khoản để thực hiện cuộc tấn công.
Quy trình tấn công
Nguyên nhân gốc
Vấn đề tính toán trong quá trình di chuyển thanh khoản là nguyên nhân cơ bản của cuộc tấn công này. Đội ngũ dự án khi thiết kế cơ chế di chuyển đã không xem xét đầy đủ tới tình huống tỷ lệ trong hồ bị thao túng một cách cực đoan.
Lời khuyên về an toàn
Sự kiện tấn công lần này một lần nữa nhắc nhở chúng ta rằng, khi thiết kế và triển khai các giao thức DeFi, cần phải xem xét đầy đủ các kịch bản tấn công khác nhau và thực hiện các biện pháp an ninh tương ứng. Đồng thời, việc kiểm toán an ninh định kỳ và chương trình thưởng lỗi cũng là những phương tiện quan trọng để bảo vệ an toàn cho dự án.