1 червня 2023 року о 10:07:55 Cellframe Network зазнала хакерської атаки на певній платформі смарт-контрактів через проблеми з розрахунком кількості токенів під час процесу міграції ліквідності. Ця подія призвела до прибутку хакерів приблизно в 76,112 доларів.
Аналіз процесу атаки
Зловмисник спочатку отримав велику кількість коштів через Термінові позики, включаючи 1000 платформних рідних токенів і 500000 токенів New Cell. Потім зловмисник обміняв всі токени New Cell на рідні токени платформи, що призвело до зменшення кількості рідних токенів у ліквідному пулі майже до нуля. Після цього зловмисник обміняв 900 рідних токенів на токени Old Cell.
Варто зазначити, що зловмисники перед здійсненням атаки заздалегідь додали ліквідність у Old Cell та ліквідний пул рідних токенів, отримавши відповідні LP токени.
Основні етапи атаки полягають у виклику функції міграції ліквідності. У цей момент у новому пулі практично немає рідних токенів, а в старому пулі практично немає токенів Old Cell. Процес міграції включає наступні етапи:
Видалити стару ліквідність та повернути відповідну кількість токенів користувачеві.
Додати нову ліквідність відповідно до пропорцій нового пулу.
Оскільки в старому пулі практично немає токенів Old Cell, кількість отриманих рідних токенів під час видалення ліквідності збільшується, а кількість токенів Old Cell зменшується. Це призводить до того, що користувачам потрібно додати лише невелику кількість рідних токенів та токенів New Cell, щоб отримати велику ліквідність, а надлишкові рідні токени та токени Old Cell повертаються користувачам.
Врешті-решт, зловмисник видаляє ліквідність нового пулу та обмінює повернені токени Old Cell на рідні токени. У цей момент у старому пулі є велика кількість токенів Old Cell, але майже немає рідних токенів, зловмисник знову обмінює токени Old Cell на рідні токени, тим самим завершуючи отримання прибутку. Потім зловмисник повторює операцію міграції, щоб ще більше збільшити прибуток.
Рекомендації з безпеки
При проведенні міграції ліквідності слід повністю враховувати зміни в кількості двох токенів у новому та старому пулі, а також поточну ціну токенів. Пряме обчислення на основі кількості двох токенів у торговій парі легко піддається маніпуляціям.
Перед запуском коду необхідно провести всебічний і ретельний аудит безпеки, щоб виявити та виправити потенційні вразливості.
При проектуванні смарт-контрактів слід враховувати різні екстремальні ситуації та граничні умови, щоб підвищити надійність контракту.
Запровадження ефективного механізму моніторингу для своєчасного виявлення аномальних транзакцій та вжиття відповідних заходів.
Розглянути можливість впровадження цінових оркестраторів та інших зовнішніх джерел даних для отримання більш надійної інформації про ціни та зменшення ризику маніпуляцій.
Ця подія ще раз підкреслила важливість безпеки в процесі проектування та реалізації DeFi проектів. Команда розробників повинна завжди бути напоготові, постійно вдосконалюючи заходи безпеки, щоб захистити активи користувачів та довгостроковий розвиток проекту.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
4
Репост
Поділіться
Прокоментувати
0/400
RektCoaster
· 15год тому
Знову-і-знову обдурили, детально кажучи, про те, що за овочі просто знищують.
Переглянути оригіналвідповісти на0
governance_ghost
· 15год тому
Грошей занадто мало, щоб Хакер навіть хотів цим займатися.
Переглянути оригіналвідповісти на0
LonelyAnchorman
· 15год тому
Ще один Термінові позики, знову потрапив у халепу.
Переглянути оригіналвідповісти на0
WalletDoomsDay
· 15год тому
Ще одна група майнерів повертається додому, щоб займатися землеробством.
Cellframe Network遭флеш-атака Хакер获利7.6万美元
Cellframe Network зазнав флеш-атаки
1 червня 2023 року о 10:07:55 Cellframe Network зазнала хакерської атаки на певній платформі смарт-контрактів через проблеми з розрахунком кількості токенів під час процесу міграції ліквідності. Ця подія призвела до прибутку хакерів приблизно в 76,112 доларів.
Аналіз процесу атаки
Зловмисник спочатку отримав велику кількість коштів через Термінові позики, включаючи 1000 платформних рідних токенів і 500000 токенів New Cell. Потім зловмисник обміняв всі токени New Cell на рідні токени платформи, що призвело до зменшення кількості рідних токенів у ліквідному пулі майже до нуля. Після цього зловмисник обміняв 900 рідних токенів на токени Old Cell.
Варто зазначити, що зловмисники перед здійсненням атаки заздалегідь додали ліквідність у Old Cell та ліквідний пул рідних токенів, отримавши відповідні LP токени.
Основні етапи атаки полягають у виклику функції міграції ліквідності. У цей момент у новому пулі практично немає рідних токенів, а в старому пулі практично немає токенів Old Cell. Процес міграції включає наступні етапи:
Оскільки в старому пулі практично немає токенів Old Cell, кількість отриманих рідних токенів під час видалення ліквідності збільшується, а кількість токенів Old Cell зменшується. Це призводить до того, що користувачам потрібно додати лише невелику кількість рідних токенів та токенів New Cell, щоб отримати велику ліквідність, а надлишкові рідні токени та токени Old Cell повертаються користувачам.
Врешті-решт, зловмисник видаляє ліквідність нового пулу та обмінює повернені токени Old Cell на рідні токени. У цей момент у старому пулі є велика кількість токенів Old Cell, але майже немає рідних токенів, зловмисник знову обмінює токени Old Cell на рідні токени, тим самим завершуючи отримання прибутку. Потім зловмисник повторює операцію міграції, щоб ще більше збільшити прибуток.
Рекомендації з безпеки
При проведенні міграції ліквідності слід повністю враховувати зміни в кількості двох токенів у новому та старому пулі, а також поточну ціну токенів. Пряме обчислення на основі кількості двох токенів у торговій парі легко піддається маніпуляціям.
Перед запуском коду необхідно провести всебічний і ретельний аудит безпеки, щоб виявити та виправити потенційні вразливості.
При проектуванні смарт-контрактів слід враховувати різні екстремальні ситуації та граничні умови, щоб підвищити надійність контракту.
Запровадження ефективного механізму моніторингу для своєчасного виявлення аномальних транзакцій та вжиття відповідних заходів.
Розглянути можливість впровадження цінових оркестраторів та інших зовнішніх джерел даних для отримання більш надійної інформації про ціни та зменшення ризику маніпуляцій.
Ця подія ще раз підкреслила важливість безпеки в процесі проектування та реалізації DeFi проектів. Команда розробників повинна завжди бути напоготові, постійно вдосконалюючи заходи безпеки, щоб захистити активи користувачів та довгостроковий розвиток проекту.