Подробности инцидента с флеш-атакой займа на Cellframe Network
1 июня 2023 года в 10:07:55 Cellframe Network подвергся атаке хакеров на одной из платформ смарт-контрактов из-за проблемы с расчетом количества токенов в процессе миграции ликвидности. В результате этого инцидента хакеры получили прибыль около 76 112 долларов.
Анализ процесса атаки
Атакующий сначала получил большое количество средств через Срочные займы, включая 1000 платформенных родных токенов и 500000 токенов New Cell. Затем атакующий обменял все токены New Cell на платформенные родные токены, что привело к тому, что количество родных токенов в ликвидном пуле практически подошло к нулю. Вслед за этим атакующий обменял 900 родных токенов на токены Old Cell.
Стоит отметить, что злоумышленники перед проведением атаки заранее добавили ликвидность в Old Cell и в ликвидный пул нативных токенов, получив соответствующие LP-токены.
Основные шаги атаки заключаются в вызове функции миграции ликвидности. В этот момент в новом пуле почти нет родных токенов, а в старом пуле почти нет токенов Old Cell. Процесс миграции включает следующие шаги:
Удалите старую ликвидность и верните соответствующее количество токенов пользователю.
Добавьте новую ликвидность в соответствии с пропорцией нового пула.
Из-за того, что в старом пуле практически нет токенов Old Cell, количество получаемых нативных токенов при удалении ликвидности увеличивается, а количество токенов Old Cell уменьшается. Это приводит к тому, что пользователям нужно добавить лишь небольшое количество нативных токенов и токенов New Cell, чтобы получить значительное количество ликвидности, в то время как избыточные нативные токены и токены Old Cell возвращаются пользователям.
В конце концов, злоумышленник удаляет ликвидность нового пула и обменивает возвращенные токены Old Cell на нативные токены. В этот момент в старом пуле находится большое количество токенов Old Cell, но почти нет нативных токенов, и злоумышленник повторно обменивает токены Old Cell на нативные токены, тем самым завершив получение прибыли. Затем злоумышленник повторяет операции миграции, чтобы еще больше увеличить доход.
Рекомендации по безопасности
При проведении миграции ликвидности следует всесторонне учитывать изменения в количестве двух токенов в новых и старых пулах, а также текущую цену токенов. Прямой расчет на основе количества двух токенов в торговой паре легко поддается манипуляциям.
Перед запуском кода обязательно проведите всесторонний и строгий аудит безопасности, чтобы выявить и устранить потенциальные уязвимости.
При проектировании смарт-контрактов следует учитывать различные крайние ситуации и граничные условия, чтобы повысить устойчивость контракта.
Внедрить эффективный механизм мониторинга для своевременного обнаружения аномальных транзакций и принятия соответствующих мер.
Рассмотрите возможность внедрения ценовых оракулов и других внешних источников данных для получения более надежной информации о ценах и снижения риска манипуляций.
Данный инцидент еще раз подчеркивает важность безопасности в процессе проектирования и реализации DeFi проектов. Команда разработчиков должна постоянно быть настороже, постоянно улучшать меры безопасности для защиты активов пользователей и долгосрочного развития проекта.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
4
Репост
Поделиться
комментарий
0/400
RektCoaster
· 13ч назад
Снова-снова-снова обманут. Подробно расскажи, что за овощ, и тебя взорвут.
Посмотреть ОригиналОтветить0
governance_ghost
· 13ч назад
Деньги слишком мало, Хакер даже не хочет этим заниматься.
Посмотреть ОригиналОтветить0
LonelyAnchorman
· 13ч назад
Еще один Срочные займы, вытащил麻了
Посмотреть ОригиналОтветить0
WalletDoomsDay
· 13ч назад
Еще одна группа майнеров собирается вернуться домой заниматься сельским хозяйством.
Cellframe Network遭флеш-атака займа Хакер获利7.6万美元
Подробности инцидента с флеш-атакой займа на Cellframe Network
1 июня 2023 года в 10:07:55 Cellframe Network подвергся атаке хакеров на одной из платформ смарт-контрактов из-за проблемы с расчетом количества токенов в процессе миграции ликвидности. В результате этого инцидента хакеры получили прибыль около 76 112 долларов.
Анализ процесса атаки
Атакующий сначала получил большое количество средств через Срочные займы, включая 1000 платформенных родных токенов и 500000 токенов New Cell. Затем атакующий обменял все токены New Cell на платформенные родные токены, что привело к тому, что количество родных токенов в ликвидном пуле практически подошло к нулю. Вслед за этим атакующий обменял 900 родных токенов на токены Old Cell.
Стоит отметить, что злоумышленники перед проведением атаки заранее добавили ликвидность в Old Cell и в ликвидный пул нативных токенов, получив соответствующие LP-токены.
Основные шаги атаки заключаются в вызове функции миграции ликвидности. В этот момент в новом пуле почти нет родных токенов, а в старом пуле почти нет токенов Old Cell. Процесс миграции включает следующие шаги:
Из-за того, что в старом пуле практически нет токенов Old Cell, количество получаемых нативных токенов при удалении ликвидности увеличивается, а количество токенов Old Cell уменьшается. Это приводит к тому, что пользователям нужно добавить лишь небольшое количество нативных токенов и токенов New Cell, чтобы получить значительное количество ликвидности, в то время как избыточные нативные токены и токены Old Cell возвращаются пользователям.
В конце концов, злоумышленник удаляет ликвидность нового пула и обменивает возвращенные токены Old Cell на нативные токены. В этот момент в старом пуле находится большое количество токенов Old Cell, но почти нет нативных токенов, и злоумышленник повторно обменивает токены Old Cell на нативные токены, тем самым завершив получение прибыли. Затем злоумышленник повторяет операции миграции, чтобы еще больше увеличить доход.
Рекомендации по безопасности
При проведении миграции ликвидности следует всесторонне учитывать изменения в количестве двух токенов в новых и старых пулах, а также текущую цену токенов. Прямой расчет на основе количества двух токенов в торговой паре легко поддается манипуляциям.
Перед запуском кода обязательно проведите всесторонний и строгий аудит безопасности, чтобы выявить и устранить потенциальные уязвимости.
При проектировании смарт-контрактов следует учитывать различные крайние ситуации и граничные условия, чтобы повысить устойчивость контракта.
Внедрить эффективный механизм мониторинга для своевременного обнаружения аномальных транзакций и принятия соответствующих мер.
Рассмотрите возможность внедрения ценовых оракулов и других внешних источников данных для получения более надежной информации о ценах и снижения риска манипуляций.
Данный инцидент еще раз подчеркивает важность безопасности в процессе проектирования и реализации DeFi проектов. Команда разработчиков должна постоянно быть настороже, постоянно улучшать меры безопасности для защиты активов пользователей и долгосрочного развития проекта.