Análise do incidente de ataque de empréstimo flash na Cellframe Network
No dia 1 de junho de 2023, às 10:07:55 (UTC+8), a Cellframe Network foi alvo de um ataque hacker em uma plataforma de cadeia inteligente devido a um problema na contagem da quantidade de tokens durante o processo de migração de liquidez. Este ataque resultou em um lucro de cerca de 76.112 dólares para os hackers.
Detalhes do Ataque
O atacante primeiro obteve 1000 tokens nativos de uma determinada plataforma de cadeia inteligente e 500.000 tokens New Cell através de Empréstimos Flash. Em seguida, trocaram todos os tokens New Cell por tokens nativos da plataforma, fazendo com que a quantidade de tokens nativos no pool de liquidez ficasse perto de zero. Por fim, o atacante trocou 900 tokens nativos por tokens Old Cell.
É importante notar que o atacante adicionou liquidez de Old Cell e tokens nativos antes de realizar o ataque, obtendo os tokens lp Old.
Processo de Ataque
O atacante chama a função de migração de liquidez. Neste momento, há quase nenhum token nativo no novo pool, enquanto no pool antigo há quase nenhum token Old Cell.
O processo de migração inclui: remover a liquidez antiga e devolver a quantidade correspondente de tokens aos usuários; adicionar nova liquidez de acordo com a proporção do novo pool.
Devido ao facto de haver praticamente nenhum token Old Cell na antiga piscina, o número de tokens nativos obtidos ao remover a liquidez aumenta, enquanto o número de tokens Old Cell diminui.
O usuário só precisa adicionar uma pequena quantidade de tokens nativos e tokens New Cell para obter liquidez, enquanto a quantidade excedente de tokens nativos e tokens Old Cell será devolvida ao usuário.
O atacante remove a liquidez do novo pool e troca os tokens Old Cell retornados pela moeda nativa.
Neste momento, há uma grande quantidade de tokens Old Cell no velho fundo, mas não há tokens nativos, o atacante irá reverter os tokens Old Cell para tokens nativos, completando assim o lucro.
O atacante realiza repetidamente operações de migração para obter mais lucros.
Resumo e Recomendações
Este ataque expôs um problema crítico ao migrar liquidez: calcular diretamente com a quantidade das duas tokens no par de negociação é suscetível a manipulação. Para evitar ataques semelhantes, os desenvolvedores devem considerar ao projetar o mecanismo de migração de liquidez:
Considerar de forma abrangente as mudanças nas quantidades de dois tipos de tokens nos novos e velhos pools.
Incluir o preço atual do token na consideração do cálculo.
Realizar uma auditoria de segurança abrangente antes do lançamento do código.
Este evento sublinha novamente a importância da segurança e da auditoria de código no campo das finanças descentralizadas. Os desenvolvedores de projetos devem ser mais cautelosos ao projetar e implementar funcionalidades críticas, especialmente aquelas que envolvem o fluxo de fundos. Ao mesmo tempo, os usuários também devem estar cientes dos riscos que podem enfrentar ao participar de novos projetos e tomar as devidas precauções.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Cellframe Network sofreu um ataque de empréstimo flash, hacker arbitragem 7.6 dólares americanos.
Análise do incidente de ataque de empréstimo flash na Cellframe Network
No dia 1 de junho de 2023, às 10:07:55 (UTC+8), a Cellframe Network foi alvo de um ataque hacker em uma plataforma de cadeia inteligente devido a um problema na contagem da quantidade de tokens durante o processo de migração de liquidez. Este ataque resultou em um lucro de cerca de 76.112 dólares para os hackers.
Detalhes do Ataque
O atacante primeiro obteve 1000 tokens nativos de uma determinada plataforma de cadeia inteligente e 500.000 tokens New Cell através de Empréstimos Flash. Em seguida, trocaram todos os tokens New Cell por tokens nativos da plataforma, fazendo com que a quantidade de tokens nativos no pool de liquidez ficasse perto de zero. Por fim, o atacante trocou 900 tokens nativos por tokens Old Cell.
É importante notar que o atacante adicionou liquidez de Old Cell e tokens nativos antes de realizar o ataque, obtendo os tokens lp Old.
Processo de Ataque
O atacante chama a função de migração de liquidez. Neste momento, há quase nenhum token nativo no novo pool, enquanto no pool antigo há quase nenhum token Old Cell.
O processo de migração inclui: remover a liquidez antiga e devolver a quantidade correspondente de tokens aos usuários; adicionar nova liquidez de acordo com a proporção do novo pool.
Devido ao facto de haver praticamente nenhum token Old Cell na antiga piscina, o número de tokens nativos obtidos ao remover a liquidez aumenta, enquanto o número de tokens Old Cell diminui.
O usuário só precisa adicionar uma pequena quantidade de tokens nativos e tokens New Cell para obter liquidez, enquanto a quantidade excedente de tokens nativos e tokens Old Cell será devolvida ao usuário.
O atacante remove a liquidez do novo pool e troca os tokens Old Cell retornados pela moeda nativa.
Neste momento, há uma grande quantidade de tokens Old Cell no velho fundo, mas não há tokens nativos, o atacante irá reverter os tokens Old Cell para tokens nativos, completando assim o lucro.
O atacante realiza repetidamente operações de migração para obter mais lucros.
Resumo e Recomendações
Este ataque expôs um problema crítico ao migrar liquidez: calcular diretamente com a quantidade das duas tokens no par de negociação é suscetível a manipulação. Para evitar ataques semelhantes, os desenvolvedores devem considerar ao projetar o mecanismo de migração de liquidez:
Este evento sublinha novamente a importância da segurança e da auditoria de código no campo das finanças descentralizadas. Os desenvolvedores de projetos devem ser mais cautelosos ao projetar e implementar funcionalidades críticas, especialmente aquelas que envolvem o fluxo de fundos. Ao mesmo tempo, os usuários também devem estar cientes dos riscos que podem enfrentar ao participar de novos projetos e tomar as devidas precauções.