Cellframe Network flaş kredi̇ saldirisi olayı detaylı inceleme
2023年6月1日上午10点07分55秒,Cellframe Network某 akıllı zincir platformunda likidite göçü sürecindeki token sayım problemi nedeniyle siber saldırıya uğradı. Bu olay sonucunda hacker yaklaşık 76,112 dolar kazanç elde etti.
Saldırı Süreci Analizi
Saldırgan, öncelikle Flaş Krediler aracılığıyla 1000 platformun yerel tokeni ve 500.000 New Cell tokeni dahil olmak üzere büyük miktarda fon elde etti. Ardından, saldırgan tüm New Cell tokenlerini platformun yerel tokenine dönüştürdü ve bu, likidite havuzundaki yerel token miktarının neredeyse sıfıra inmesine neden oldu. Hemen ardından, saldırgan 900 yerel tokeni Old Cell tokenine dönüştürdü.
Dikkate değer olan, saldırganların saldırıyı gerçekleştirmeden önce, Old Cell ve yerel token'in likidite havuzlarına önceden likidite ekleyerek ilgili LP token'lerini elde etmiş olmalarıdır.
Saldırının temel adımı, likidite taşıma fonksiyonunun çağrılmasıdır. Bu aşamada, yeni havuzda neredeyse hiç yerel token bulunmazken, eski havuzda neredeyse hiç Old Cell token bulunmamaktadır. Taşıma süreci aşağıdaki adımları içerir:
Eski likiditeyi kaldırın ve karşılık gelen miktarda tokeni kullanıcılara iade edin.
Yeni havuzun oranına göre yeni likidite ekleyin.
Eski havuzda neredeyse hiç Old Cell tokeni olmadığından, likidite kaldırıldığında elde edilen yerel token sayısı artarken, Old Cell tokeni sayısı azalır. Bu, kullanıcıların sadece az miktarda yerel token ve New Cell tokeni eklemeleri gerektiği anlamına gelir, böylece büyük miktarda likidite elde ederler; fazla yerel token ve Old Cell tokeni ise kullanıcılara iade edilir.
Son olarak, saldırgan yeni havuzun likiditesini kaldırır ve taşınan eski hücre tokenlerini yerel tokenle değiştirir. Bu noktada, eski havuzda çok sayıda eski hücre tokeni ama neredeyse hiç yerel token yoktur, saldırgan eski hücre tokenlerini tekrar yerel tokenle değiştirerek kâr elde eder. Saldırgan daha sonra taşınma işlemini tekrarlar ve kazancı daha da artırır.
Güvenlik Önerileri
Likidite taşınması sırasında, eski ve yeni havuzlardaki iki tokenin miktarındaki değişiklikleri ve mevcut token fiyatını kapsamlı bir şekilde dikkate almak gerekir. İşlem çiftindeki iki tokenin miktarına doğrudan dayanarak hesaplama yapmak kolayca manipüle edilebilir.
Kod yayına verilmeden önce, potansiyel açıkları tespit etmek ve düzeltmek için kapsamlı ve titiz bir güvenlik denetimi yapılmalıdır.
Akıllı sözleşme tasarlarken, çeşitli aşırı durumları ve sınır koşullarını göz önünde bulundurmalı, sözleşmenin dayanıklılığını artırmalısınız.
Etkili bir izleme mekanizması uygulamak, anormal işlemleri zamanında tespit etmek ve gerekli önlemleri almak.
Daha güvenilir fiyat bilgileri elde etmek ve manipülasyon riskini azaltmak için fiyat oracle'ları gibi dış veri kaynaklarının entegrasyonunu düşünün.
Bu olay, DeFi projelerinin tasarım ve uygulama sürecindeki güvenliğin önemini bir kez daha vurgulamaktadır. Geliştirme ekipleri, kullanıcı varlıklarını ve projenin uzun vadeli gelişimini korumak için sürekli olarak güvenlik önlemlerini geliştirmeye dikkat etmelidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 Likes
Reward
12
4
Repost
Share
Comment
0/400
RektCoaster
· 13h ago
Yine yine yine kazıklandım, hangi yiyecekten bahsetsem patlatıyorlar.
Cellframe Network flaş kredi̇ saldirisi nedeniyle Hacker 7.6 ABD doları kazandı
Cellframe Network flaş kredi̇ saldirisi olayı detaylı inceleme
2023年6月1日上午10点07分55秒,Cellframe Network某 akıllı zincir platformunda likidite göçü sürecindeki token sayım problemi nedeniyle siber saldırıya uğradı. Bu olay sonucunda hacker yaklaşık 76,112 dolar kazanç elde etti.
Saldırı Süreci Analizi
Saldırgan, öncelikle Flaş Krediler aracılığıyla 1000 platformun yerel tokeni ve 500.000 New Cell tokeni dahil olmak üzere büyük miktarda fon elde etti. Ardından, saldırgan tüm New Cell tokenlerini platformun yerel tokenine dönüştürdü ve bu, likidite havuzundaki yerel token miktarının neredeyse sıfıra inmesine neden oldu. Hemen ardından, saldırgan 900 yerel tokeni Old Cell tokenine dönüştürdü.
Dikkate değer olan, saldırganların saldırıyı gerçekleştirmeden önce, Old Cell ve yerel token'in likidite havuzlarına önceden likidite ekleyerek ilgili LP token'lerini elde etmiş olmalarıdır.
Saldırının temel adımı, likidite taşıma fonksiyonunun çağrılmasıdır. Bu aşamada, yeni havuzda neredeyse hiç yerel token bulunmazken, eski havuzda neredeyse hiç Old Cell token bulunmamaktadır. Taşıma süreci aşağıdaki adımları içerir:
Eski havuzda neredeyse hiç Old Cell tokeni olmadığından, likidite kaldırıldığında elde edilen yerel token sayısı artarken, Old Cell tokeni sayısı azalır. Bu, kullanıcıların sadece az miktarda yerel token ve New Cell tokeni eklemeleri gerektiği anlamına gelir, böylece büyük miktarda likidite elde ederler; fazla yerel token ve Old Cell tokeni ise kullanıcılara iade edilir.
Son olarak, saldırgan yeni havuzun likiditesini kaldırır ve taşınan eski hücre tokenlerini yerel tokenle değiştirir. Bu noktada, eski havuzda çok sayıda eski hücre tokeni ama neredeyse hiç yerel token yoktur, saldırgan eski hücre tokenlerini tekrar yerel tokenle değiştirerek kâr elde eder. Saldırgan daha sonra taşınma işlemini tekrarlar ve kazancı daha da artırır.
Güvenlik Önerileri
Likidite taşınması sırasında, eski ve yeni havuzlardaki iki tokenin miktarındaki değişiklikleri ve mevcut token fiyatını kapsamlı bir şekilde dikkate almak gerekir. İşlem çiftindeki iki tokenin miktarına doğrudan dayanarak hesaplama yapmak kolayca manipüle edilebilir.
Kod yayına verilmeden önce, potansiyel açıkları tespit etmek ve düzeltmek için kapsamlı ve titiz bir güvenlik denetimi yapılmalıdır.
Akıllı sözleşme tasarlarken, çeşitli aşırı durumları ve sınır koşullarını göz önünde bulundurmalı, sözleşmenin dayanıklılığını artırmalısınız.
Etkili bir izleme mekanizması uygulamak, anormal işlemleri zamanında tespit etmek ve gerekli önlemleri almak.
Daha güvenilir fiyat bilgileri elde etmek ve manipülasyon riskini azaltmak için fiyat oracle'ları gibi dış veri kaynaklarının entegrasyonunu düşünün.
Bu olay, DeFi projelerinin tasarım ve uygulama sürecindeki güvenliğin önemini bir kez daha vurgulamaktadır. Geliştirme ekipleri, kullanıcı varlıklarını ve projenin uzun vadeli gelişimini korumak için sürekli olarak güvenlik önlemlerini geliştirmeye dikkat etmelidir.