2023年6月1日10时7分55秒(UTC+8),Cellframe Network某 akıllı zincir platformunda likidite göçü sürecindeki token sayım sorunu nedeniyle bir siber saldırıya uğradı. Bu saldırı sonucunda hacker yaklaşık 76,112 dolar kazanç sağladı.
Saldırı Detayları
Saldırganlar öncelikle Flaş Krediler aracılığıyla 1000 adet bir akıllı zincir platformunun yerel token'ını ve 500.000 adet New Cell token'ını elde ettiler. Ardından, tüm New Cell token'larını platformun yerel token'ı ile değiştirdiler, bu da likidite havuzundaki yerel token miktarının neredeyse sıfıra inmesine neden oldu. Son olarak, saldırganlar 900 adet yerel token'ı Old Cell token'ı ile değiştirdiler.
Dikkate değer bir nokta, saldırganların saldırıyı gerçekleştirmeden önce Old Cell ve yerel tokenin likiditesini ekleyerek Old lp tokenlerini elde etmeleridir.
Saldırı Akışı
Saldırgan, likidite taşıma fonksiyonunu çağırır. Bu aşamada yeni havuzda neredeyse hiç yerel token yokken, eski havuzda neredeyse hiç Eski Hücre tokeni yoktur.
Göç süreci şunları içerir: Eski likiditenin kaldırılması ve karşılık gelen miktardaki tokenlerin kullanıcılara iade edilmesi; yeni havuzun oranına göre yeni likiditenin eklenmesi.
Eski havuzda neredeyse hiç Old Cell tokeni bulunmadığından, likidite kaldırıldığında elde edilen yerel token miktarı artarken, Old Cell tokeni miktarı azalır.
Kullanıcı sadece az miktarda yerel token ve New Cell token ekleyerek likidite elde edebilir, fazla yerel token ve Old Cell token kullanıcıya iade edilecektir.
Saldırgan yeni havuzun likiditesini kaldırır ve taşınan eski hücre tokenlerini yerel token ile değiştirir.
Bu noktada, eski havuzda çok sayıda Old Cell tokeni var ancak yerel token yok, saldırgan Old Cell tokenlerini yerel tokenlere yeniden değiştirerek kar elde ediyor.
Saldırgan, taşınma işlemini tekrar ederek daha fazla kazanç elde ediyor.
Özet ve Öneriler
Bu saldırı, likidite taşınırken doğrudan işlem çiftindeki iki tokenin miktarını kullanarak hesaplama yapmanın kolayca manipüle edilebilecek kritik bir sorununu ortaya çıkardı. Benzer saldırıları önlemek için geliştiricilerin likidite taşıma mekanizmasını tasarlarken şunları dikkate alması gerekmektedir:
Eski ve yeni havuzlardaki iki tokenin miktarındaki değişiklikleri kapsamlı bir şekilde değerlendirin.
Mevcut token fiyatını hesaplamaya dahil et.
Kodun yayına alınmasından önce kapsamlı bir güvenlik denetimi yapılmalıdır.
Bu olay, merkeziyetsiz finans alanında güvenlik ve kod denetiminin önemini bir kez daha vurgulamaktadır. Proje sahipleri, özellikle fon akışını içeren kritik işlevleri tasarlarken ve gerçekleştirirken daha dikkatli olmalıdır. Aynı zamanda, kullanıcılar da yeni projelere katılmanın getirdiği risklerin farkında olmalı ve uygun önleyici tedbirler almalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Cellframe Network flaş kredi saldırısı sonucu Hacker arbitraj 76,000 dolar
Cellframe Ağı flaş kredi saldırısı olayı analizi
2023年6月1日10时7分55秒(UTC+8),Cellframe Network某 akıllı zincir platformunda likidite göçü sürecindeki token sayım sorunu nedeniyle bir siber saldırıya uğradı. Bu saldırı sonucunda hacker yaklaşık 76,112 dolar kazanç sağladı.
Saldırı Detayları
Saldırganlar öncelikle Flaş Krediler aracılığıyla 1000 adet bir akıllı zincir platformunun yerel token'ını ve 500.000 adet New Cell token'ını elde ettiler. Ardından, tüm New Cell token'larını platformun yerel token'ı ile değiştirdiler, bu da likidite havuzundaki yerel token miktarının neredeyse sıfıra inmesine neden oldu. Son olarak, saldırganlar 900 adet yerel token'ı Old Cell token'ı ile değiştirdiler.
Dikkate değer bir nokta, saldırganların saldırıyı gerçekleştirmeden önce Old Cell ve yerel tokenin likiditesini ekleyerek Old lp tokenlerini elde etmeleridir.
Saldırı Akışı
Saldırgan, likidite taşıma fonksiyonunu çağırır. Bu aşamada yeni havuzda neredeyse hiç yerel token yokken, eski havuzda neredeyse hiç Eski Hücre tokeni yoktur.
Göç süreci şunları içerir: Eski likiditenin kaldırılması ve karşılık gelen miktardaki tokenlerin kullanıcılara iade edilmesi; yeni havuzun oranına göre yeni likiditenin eklenmesi.
Eski havuzda neredeyse hiç Old Cell tokeni bulunmadığından, likidite kaldırıldığında elde edilen yerel token miktarı artarken, Old Cell tokeni miktarı azalır.
Kullanıcı sadece az miktarda yerel token ve New Cell token ekleyerek likidite elde edebilir, fazla yerel token ve Old Cell token kullanıcıya iade edilecektir.
Saldırgan yeni havuzun likiditesini kaldırır ve taşınan eski hücre tokenlerini yerel token ile değiştirir.
Bu noktada, eski havuzda çok sayıda Old Cell tokeni var ancak yerel token yok, saldırgan Old Cell tokenlerini yerel tokenlere yeniden değiştirerek kar elde ediyor.
Saldırgan, taşınma işlemini tekrar ederek daha fazla kazanç elde ediyor.
Özet ve Öneriler
Bu saldırı, likidite taşınırken doğrudan işlem çiftindeki iki tokenin miktarını kullanarak hesaplama yapmanın kolayca manipüle edilebilecek kritik bir sorununu ortaya çıkardı. Benzer saldırıları önlemek için geliştiricilerin likidite taşıma mekanizmasını tasarlarken şunları dikkate alması gerekmektedir:
Bu olay, merkeziyetsiz finans alanında güvenlik ve kod denetiminin önemini bir kez daha vurgulamaktadır. Proje sahipleri, özellikle fon akışını içeren kritik işlevleri tasarlarken ve gerçekleştirirken daha dikkatli olmalıdır. Aynı zamanda, kullanıcılar da yeni projelere katılmanın getirdiği risklerin farkında olmalı ve uygun önleyici tedbirler almalıdır.