Análisis del incidente de ataque de flash loan a Cellframe Network
El 1 de junio de 2023 a las 10:07:55, Cellframe Network fue atacada por hackers en la cadena BSC debido a un problema de cálculo de tokens durante el proceso de migración de liquidez. Este ataque causó una pérdida de aproximadamente 76,112 dólares.
Detalles del ataque
El atacante llevó a cabo el ataque a través de los siguientes pasos:
Utilizar Flash Loans para obtener 1000 BNB y 500,000 New Cell tokens
Cambiar todos los tokens New Cell por BNB, lo que provoca que el BNB en el fondo esté casi agotado.
Intercambiar 900 BNB por el token Old Cell
Añadir liquidez de Old Cell y BNB antes del ataque para obtener Old lp
Llamar a la función de migración de liquidez
Durante el ataque, casi no hay BNB en la nueva piscina, mientras que casi no hay tokens Old Cell en la piscina antigua. Este estado provoca que al eliminar la liquidez antigua, la cantidad de BNB obtenida aumente, mientras que la cantidad de tokens Old Cell disminuya.
El proceso de migración de liquidez incluye:
Eliminar la liquidez antigua y devolver los tokens a los usuarios
Añadir nueva liquidez según la proporción del nuevo fondo
Debido a que la proporción del pool fue manipulada, el atacante solo necesita agregar una pequeña cantidad de BNB y el token New Cell para obtener liquidez, mientras que el exceso de BNB y el token Old Cell son devueltos.
Finalmente, el atacante retira la liquidez del nuevo fondo, intercambia los tokens Old Cell devueltos por BNB y completa la ganancia. Luego, repite la operación de migración.
Causa de la vulnerabilidad
Hay un problema en el cálculo de la cantidad de tokens durante el proceso de migración de liquidez. Usar directamente la cantidad de los dos tokens en el par de negociación para el cálculo es susceptible a manipulaciones maliciosas.
Sugerencias de seguridad
Al migrar la liquidez, se debe considerar de manera integral los cambios en la cantidad de tokens de los antiguos y nuevos grupos, así como el precio actual de los tokens.
Evita depender únicamente de la cantidad de tokens en el par de comercio para realizar cálculos, este método puede ser manipulado.
Antes de lanzar el código, es imprescindible realizar una auditoría de seguridad completa para identificar y corregir posibles vulnerabilidades.
Este evento subraya una vez más la importancia de implementar medidas de seguridad estrictas en los proyectos DeFi, especialmente cuando se trata de operaciones complejas como la migración de liquidez. Los desarrolladores del proyecto deben mantenerse atentos a los problemas de seguridad, realizar auditorías de código de manera regular y establecer mecanismos efectivos de gestión de riesgos.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
11 me gusta
Recompensa
11
3
Compartir
Comentar
0/400
LiquidityHunter
· 07-30 07:10
La pérdida no es demasiado grande.
Ver originalesResponder0
Newbcrypter
· 07-27 14:43
noticia muy vieja. intenta más duro.
Ver originalesResponder0
pvt_key_collector
· 07-27 09:09
Se debe realizar una auditoría completa durante la migración.
Cellframe Network sufrió un ataque de flash loan con una pérdida de 76,000 dólares.
Análisis del incidente de ataque de flash loan a Cellframe Network
El 1 de junio de 2023 a las 10:07:55, Cellframe Network fue atacada por hackers en la cadena BSC debido a un problema de cálculo de tokens durante el proceso de migración de liquidez. Este ataque causó una pérdida de aproximadamente 76,112 dólares.
Detalles del ataque
El atacante llevó a cabo el ataque a través de los siguientes pasos:
Durante el ataque, casi no hay BNB en la nueva piscina, mientras que casi no hay tokens Old Cell en la piscina antigua. Este estado provoca que al eliminar la liquidez antigua, la cantidad de BNB obtenida aumente, mientras que la cantidad de tokens Old Cell disminuya.
El proceso de migración de liquidez incluye:
Debido a que la proporción del pool fue manipulada, el atacante solo necesita agregar una pequeña cantidad de BNB y el token New Cell para obtener liquidez, mientras que el exceso de BNB y el token Old Cell son devueltos.
Finalmente, el atacante retira la liquidez del nuevo fondo, intercambia los tokens Old Cell devueltos por BNB y completa la ganancia. Luego, repite la operación de migración.
Causa de la vulnerabilidad
Hay un problema en el cálculo de la cantidad de tokens durante el proceso de migración de liquidez. Usar directamente la cantidad de los dos tokens en el par de negociación para el cálculo es susceptible a manipulaciones maliciosas.
Sugerencias de seguridad
Al migrar la liquidez, se debe considerar de manera integral los cambios en la cantidad de tokens de los antiguos y nuevos grupos, así como el precio actual de los tokens.
Evita depender únicamente de la cantidad de tokens en el par de comercio para realizar cálculos, este método puede ser manipulado.
Antes de lanzar el código, es imprescindible realizar una auditoría de seguridad completa para identificar y corregir posibles vulnerabilidades.
Este evento subraya una vez más la importancia de implementar medidas de seguridad estrictas en los proyectos DeFi, especialmente cuando se trata de operaciones complejas como la migración de liquidez. Los desarrolladores del proyecto deben mantenerse atentos a los problemas de seguridad, realizar auditorías de código de manera regular y establecer mecanismos efectivos de gestión de riesgos.