Cellframe Network遭受cuộc tấn công cho vay chớp nhoáng事件详解
Vào lúc 10 giờ 07 phút 55 giây sáng ngày 1 tháng 6 năm 2023, Cellframe Network đã bị tấn công bởi hacker trên một nền tảng chuỗi thông minh do vấn đề tính toán số lượng token trong quá trình di chuyển thanh khoản. Sự kiện này đã khiến hacker thu lợi khoảng 76,112 đô la.
Phân tích quy trình tấn công
Kẻ tấn công trước tiên đã thu được một lượng lớn vốn thông qua khoản vay nhanh, bao gồm 1000 mã thông báo gốc của nền tảng và 500000 mã thông báo New Cell. Sau đó, kẻ tấn công đã đổi tất cả các mã thông báo New Cell thành mã thông báo gốc của nền tảng, dẫn đến số lượng mã thông báo gốc trong bể thanh khoản gần như bằng không. Ngay sau đó, kẻ tấn công đã đổi 900 mã thông báo gốc thành mã thông báo Old Cell.
Đáng chú ý là, trước khi thực hiện cuộc tấn công, kẻ tấn công đã trước đó thêm thanh khoản vào Old Cell và bể thanh khoản của token gốc, từ đó nhận được các token LP tương ứng.
Các bước cốt lõi của cuộc tấn công là gọi hàm di chuyển thanh khoản. Lúc này, trong bể mới gần như không có token gốc, trong khi bể cũ gần như không có token Old Cell. Quá trình di chuyển bao gồm các bước sau:
Loại bỏ tính thanh khoản cũ và hoàn trả số lượng token tương ứng cho người dùng.
Thêm thanh khoản mới theo tỷ lệ của bể mới.
Do bởi vì trong bể cũ gần như không có token Old Cell, số lượng token gốc nhận được khi loại bỏ tính thanh khoản tăng lên, trong khi số lượng token Old Cell giảm xuống. Điều này dẫn đến việc người dùng chỉ cần thêm một lượng nhỏ token gốc và token New Cell để có được lượng lớn tính thanh khoản, số token gốc dư thừa và token Old Cell sẽ được hoàn trả lại cho người dùng.
Cuối cùng, kẻ tấn công loại bỏ tính thanh khoản của bể mới, và đổi các token Old Cell nhận được từ việc di chuyển thành token gốc. Lúc này, bể cũ có một lượng lớn token Old Cell nhưng gần như không có token gốc, kẻ tấn công sẽ đổi lại token Old Cell thành token gốc, từ đó hoàn thành việc thu lợi. Kẻ tấn công sau đó lặp lại các thao tác di chuyển, mở rộng thêm lợi nhuận.
Đề xuất an toàn
Khi thực hiện di chuyển thanh khoản, cần phải xem xét toàn diện sự thay đổi về số lượng hai loại token trong các bể cũ và mới cũng như giá token hiện tại. Việc tính toán trực tiếp dựa trên số lượng hai loại token trong cặp giao dịch dễ bị thao túng.
Trước khi mã được triển khai, nhất định phải thực hiện kiểm toán an ninh toàn diện và nghiêm ngặt để phát hiện và khắc phục các lỗ hổng tiềm ẩn.
Khi thiết kế hợp đồng thông minh, cần xem xét các tình huống cực đoan và điều kiện biên khác nhau để tăng cường tính linh hoạt của hợp đồng.
Thực hiện cơ chế giám sát hiệu quả, kịp thời phát hiện giao dịch bất thường và thực hiện các biện pháp tương ứng.
Cân nhắc việc đưa vào các nguồn dữ liệu bên ngoài như oracle giá cả, để có thông tin giá cả đáng tin cậy hơn, giảm thiểu rủi ro bị thao túng.
Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của an ninh trong quá trình thiết kế và thực hiện các dự án DeFi. Nhóm phát triển nên luôn giữ cảnh giác và liên tục hoàn thiện các biện pháp an ninh để bảo vệ tài sản của người dùng và sự phát triển lâu dài của dự án.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
12 thích
Phần thưởng
12
4
Đăng lại
Chia sẻ
Bình luận
0/400
RektCoaster
· 9giờ trước
Lại lại lại bị cắt lông, nói rõ cái gì thì bị nổ.
Xem bản gốcTrả lời0
governance_ghost
· 9giờ trước
Tiền quá ít rồi, Hacker cũng lười làm.
Xem bản gốcTrả lời0
LonelyAnchorman
· 9giờ trước
Lại một khoản vay nhanh đã bị lỗ.
Xem bản gốcTrả lời0
WalletDoomsDay
· 9giờ trước
Một nhóm người khai thác lại chuẩn bị về nhà trồng lúa.
Cellframe Network遭 cuộc tấn công cho vay chớp nhoáng Hacker获利7.6万美元
Cellframe Network遭受cuộc tấn công cho vay chớp nhoáng事件详解
Vào lúc 10 giờ 07 phút 55 giây sáng ngày 1 tháng 6 năm 2023, Cellframe Network đã bị tấn công bởi hacker trên một nền tảng chuỗi thông minh do vấn đề tính toán số lượng token trong quá trình di chuyển thanh khoản. Sự kiện này đã khiến hacker thu lợi khoảng 76,112 đô la.
Phân tích quy trình tấn công
Kẻ tấn công trước tiên đã thu được một lượng lớn vốn thông qua khoản vay nhanh, bao gồm 1000 mã thông báo gốc của nền tảng và 500000 mã thông báo New Cell. Sau đó, kẻ tấn công đã đổi tất cả các mã thông báo New Cell thành mã thông báo gốc của nền tảng, dẫn đến số lượng mã thông báo gốc trong bể thanh khoản gần như bằng không. Ngay sau đó, kẻ tấn công đã đổi 900 mã thông báo gốc thành mã thông báo Old Cell.
Đáng chú ý là, trước khi thực hiện cuộc tấn công, kẻ tấn công đã trước đó thêm thanh khoản vào Old Cell và bể thanh khoản của token gốc, từ đó nhận được các token LP tương ứng.
Các bước cốt lõi của cuộc tấn công là gọi hàm di chuyển thanh khoản. Lúc này, trong bể mới gần như không có token gốc, trong khi bể cũ gần như không có token Old Cell. Quá trình di chuyển bao gồm các bước sau:
Do bởi vì trong bể cũ gần như không có token Old Cell, số lượng token gốc nhận được khi loại bỏ tính thanh khoản tăng lên, trong khi số lượng token Old Cell giảm xuống. Điều này dẫn đến việc người dùng chỉ cần thêm một lượng nhỏ token gốc và token New Cell để có được lượng lớn tính thanh khoản, số token gốc dư thừa và token Old Cell sẽ được hoàn trả lại cho người dùng.
Cuối cùng, kẻ tấn công loại bỏ tính thanh khoản của bể mới, và đổi các token Old Cell nhận được từ việc di chuyển thành token gốc. Lúc này, bể cũ có một lượng lớn token Old Cell nhưng gần như không có token gốc, kẻ tấn công sẽ đổi lại token Old Cell thành token gốc, từ đó hoàn thành việc thu lợi. Kẻ tấn công sau đó lặp lại các thao tác di chuyển, mở rộng thêm lợi nhuận.
Đề xuất an toàn
Khi thực hiện di chuyển thanh khoản, cần phải xem xét toàn diện sự thay đổi về số lượng hai loại token trong các bể cũ và mới cũng như giá token hiện tại. Việc tính toán trực tiếp dựa trên số lượng hai loại token trong cặp giao dịch dễ bị thao túng.
Trước khi mã được triển khai, nhất định phải thực hiện kiểm toán an ninh toàn diện và nghiêm ngặt để phát hiện và khắc phục các lỗ hổng tiềm ẩn.
Khi thiết kế hợp đồng thông minh, cần xem xét các tình huống cực đoan và điều kiện biên khác nhau để tăng cường tính linh hoạt của hợp đồng.
Thực hiện cơ chế giám sát hiệu quả, kịp thời phát hiện giao dịch bất thường và thực hiện các biện pháp tương ứng.
Cân nhắc việc đưa vào các nguồn dữ liệu bên ngoài như oracle giá cả, để có thông tin giá cả đáng tin cậy hơn, giảm thiểu rủi ro bị thao túng.
Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của an ninh trong quá trình thiết kế và thực hiện các dự án DeFi. Nhóm phát triển nên luôn giữ cảnh giác và liên tục hoàn thiện các biện pháp an ninh để bảo vệ tài sản của người dùng và sự phát triển lâu dài của dự án.