Analyse de l'incident d'attaque par prêts flash de Cellframe Network
Le 1er juin 2023 à 10h07 et 55 secondes, le Cellframe Network a été victime d'un piratage sur la chaîne BSC en raison d'un problème de calcul des tokens lors du processus de migration de liquidité. Cette attaque a entraîné une perte d'environ 76 112 $.
Détails de l'attaque
L'attaquant a mis en œuvre l'attaque par les étapes suivantes :
Utiliser des Prêts Flash pour obtenir 1000 BNB et 500 000 jetons New Cell
Échanger tous les jetons New Cell contre des BNB, ce qui a conduit à une quasi-épuisement des BNB dans le pool.
Échanger 900 BNB contre des jetons Old Cell
Ajouter de la liquidité Old Cell et BNB avant l'attaque, obtenir Old lp
Appeler la fonction de migration de liquidité
Pendant l'attaque, il y a presque pas de BNB dans le nouveau pool, tandis qu'il y a presque pas de jetons Old Cell dans l'ancien pool. Cet état entraîne une augmentation du nombre de BNB obtenus lors de la suppression de l'ancienne liquidité, tandis que le nombre de jetons Old Cell diminue.
Le processus de migration de la liquidité comprend :
Retirer l'ancienne liquidité et restituer les jetons aux utilisateurs
Ajouter de nouvelles liquidités selon le ratio du nouveau pool
En raison de la manipulation des proportions du pool, l'attaquant n'a besoin d'ajouter qu'une petite quantité de BNB et de jetons New Cell pour obtenir de la liquidité, le surplus de BNB et de jetons Old Cell étant remboursé.
Enfin, l'attaquant retire la liquidité du nouveau pool, échange les jetons Old Cell récupérés contre des BNB et réalise un profit. Ensuite, il répète l'opération de migration.
Raison de la vulnérabilité
Il existe des problèmes de calcul du nombre de jetons lors du processus de migration de liquidité. Utiliser directement le nombre des deux jetons dans la paire de trading pour le calcul peut facilement être manipulé de manière malveillante.
Conseils de sécurité
Lors de la migration de la liquidité, il convient de prendre en compte les variations de la quantité des deux tokens dans les anciens et nouveaux pools ainsi que le prix actuel des tokens.
Évitez de compter uniquement sur le nombre de jetons dans la paire de trading, car cette méthode est facilement manipulable.
Avant le déploiement du code, il est impératif de procéder à un audit de sécurité complet pour identifier et corriger les vulnérabilités potentielles.
Cet événement souligne une fois de plus l'importance de mettre en œuvre des mesures de sécurité strictes dans les projets DeFi, en particulier lors d'opérations complexes telles que la migration de liquidités. Les équipes de projet doivent rester vigilantes sur les problèmes de sécurité, effectuer des audits de code réguliers et établir des mécanismes de gestion des risques efficaces.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
2
Partager
Commentaire
0/400
Newbcrypter
· 07-27 14:43
des nouvelles très anciennes. essayez plus fort.
Voir l'originalRépondre0
pvt_key_collector
· 07-27 09:09
Une audit complet est nécessaire lors de la migration.
Cellframe Network a subi une attaque de prêts flash, avec une perte de 76 000 dollars.
Analyse de l'incident d'attaque par prêts flash de Cellframe Network
Le 1er juin 2023 à 10h07 et 55 secondes, le Cellframe Network a été victime d'un piratage sur la chaîne BSC en raison d'un problème de calcul des tokens lors du processus de migration de liquidité. Cette attaque a entraîné une perte d'environ 76 112 $.
Détails de l'attaque
L'attaquant a mis en œuvre l'attaque par les étapes suivantes :
Pendant l'attaque, il y a presque pas de BNB dans le nouveau pool, tandis qu'il y a presque pas de jetons Old Cell dans l'ancien pool. Cet état entraîne une augmentation du nombre de BNB obtenus lors de la suppression de l'ancienne liquidité, tandis que le nombre de jetons Old Cell diminue.
Le processus de migration de la liquidité comprend :
En raison de la manipulation des proportions du pool, l'attaquant n'a besoin d'ajouter qu'une petite quantité de BNB et de jetons New Cell pour obtenir de la liquidité, le surplus de BNB et de jetons Old Cell étant remboursé.
Enfin, l'attaquant retire la liquidité du nouveau pool, échange les jetons Old Cell récupérés contre des BNB et réalise un profit. Ensuite, il répète l'opération de migration.
Raison de la vulnérabilité
Il existe des problèmes de calcul du nombre de jetons lors du processus de migration de liquidité. Utiliser directement le nombre des deux jetons dans la paire de trading pour le calcul peut facilement être manipulé de manière malveillante.
Conseils de sécurité
Lors de la migration de la liquidité, il convient de prendre en compte les variations de la quantité des deux tokens dans les anciens et nouveaux pools ainsi que le prix actuel des tokens.
Évitez de compter uniquement sur le nombre de jetons dans la paire de trading, car cette méthode est facilement manipulable.
Avant le déploiement du code, il est impératif de procéder à un audit de sécurité complet pour identifier et corriger les vulnérabilités potentielles.
Cet événement souligne une fois de plus l'importance de mettre en œuvre des mesures de sécurité strictes dans les projets DeFi, en particulier lors d'opérations complexes telles que la migration de liquidités. Les équipes de projet doivent rester vigilantes sur les problèmes de sécurité, effectuer des audits de code réguliers et établir des mécanismes de gestion des risques efficaces.