Analisis Peristiwa Serangan Pinjaman Flash pada Cellframe Network
Pada 1 Juni 2023 pukul 10:07:55, Cellframe Network diserang oleh hacker di jaringan BSC karena masalah perhitungan token selama proses migrasi likuiditas. Serangan ini mengakibatkan kerugian sekitar 76.112 dolar AS.
Detail Serangan
Penyerang melaksanakan serangan melalui langkah-langkah berikut:
Menggunakan Pinjaman Flash untuk mendapatkan 1000 BNB dan 500.000 token New Cell
Mengubah semua token New Cell menjadi BNB, yang menyebabkan BNB di dalam kolam hampir habis.
Tukar 900 BNB dengan token Old Cell
Menambahkan likuiditas Old Cell dan BNB sebelum serangan, memperoleh Old lp
Memanggil fungsi migrasi likuiditas
Selama proses serangan, hampir tidak ada BNB di kolam baru, sementara hampir tidak ada token Old Cell di kolam lama. Keadaan ini menyebabkan jumlah BNB yang diperoleh meningkat saat likuiditas lama dihapus, sementara jumlah token Old Cell berkurang.
Proses migrasi likuiditas mencakup:
Menghapus likuiditas lama, mengembalikan token kepada pengguna
Tambahkan likuiditas baru sesuai proporsi kolam baru
Karena proporsi kolam diatur, penyerang hanya perlu menambahkan sedikit BNB dan token New Cell untuk mendapatkan likuiditas, sementara BNB yang berlebih dan token Old Cell dikembalikan.
Akhirnya, penyerang menghapus likuiditas kolam baru, menukarkan token Old Cell yang dikembalikan menjadi BNB, dan menyelesaikan keuntungan. Kemudian ulangi operasi migrasi.
Alasan Kerentanan
Ada masalah dalam perhitungan jumlah token selama proses migrasi likuiditas. Menggunakan jumlah dua jenis token dalam pasangan perdagangan secara langsung untuk perhitungan dapat dengan mudah dimanipulasi secara jahat.
Saran Keamanan
Saat memindahkan likuiditas, harus mempertimbangkan perubahan jumlah kedua jenis token di kolam baru dan lama serta harga token saat ini.
Hindari hanya mengandalkan jumlah token dalam pasangan perdagangan untuk perhitungan, metode ini mudah dimanipulasi.
Sebelum kode diluncurkan, pastikan untuk melakukan audit keamanan secara menyeluruh untuk menemukan dan memperbaiki potensi kerentanan.
Peristiwa ini sekali lagi menekankan pentingnya menerapkan langkah-langkah keamanan yang ketat dalam proyek DeFi, terutama saat melibatkan operasi kompleks seperti migrasi likuiditas. Pihak proyek harus terus memperhatikan masalah keamanan, melakukan audit kode secara berkala, dan membangun mekanisme manajemen risiko yang efektif.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Cellframe Network mengalami flash loan attack dengan kerugian sebesar 76.000 USD
Analisis Peristiwa Serangan Pinjaman Flash pada Cellframe Network
Pada 1 Juni 2023 pukul 10:07:55, Cellframe Network diserang oleh hacker di jaringan BSC karena masalah perhitungan token selama proses migrasi likuiditas. Serangan ini mengakibatkan kerugian sekitar 76.112 dolar AS.
Detail Serangan
Penyerang melaksanakan serangan melalui langkah-langkah berikut:
Selama proses serangan, hampir tidak ada BNB di kolam baru, sementara hampir tidak ada token Old Cell di kolam lama. Keadaan ini menyebabkan jumlah BNB yang diperoleh meningkat saat likuiditas lama dihapus, sementara jumlah token Old Cell berkurang.
Proses migrasi likuiditas mencakup:
Karena proporsi kolam diatur, penyerang hanya perlu menambahkan sedikit BNB dan token New Cell untuk mendapatkan likuiditas, sementara BNB yang berlebih dan token Old Cell dikembalikan.
Akhirnya, penyerang menghapus likuiditas kolam baru, menukarkan token Old Cell yang dikembalikan menjadi BNB, dan menyelesaikan keuntungan. Kemudian ulangi operasi migrasi.
Alasan Kerentanan
Ada masalah dalam perhitungan jumlah token selama proses migrasi likuiditas. Menggunakan jumlah dua jenis token dalam pasangan perdagangan secara langsung untuk perhitungan dapat dengan mudah dimanipulasi secara jahat.
Saran Keamanan
Saat memindahkan likuiditas, harus mempertimbangkan perubahan jumlah kedua jenis token di kolam baru dan lama serta harga token saat ini.
Hindari hanya mengandalkan jumlah token dalam pasangan perdagangan untuk perhitungan, metode ini mudah dimanipulasi.
Sebelum kode diluncurkan, pastikan untuk melakukan audit keamanan secara menyeluruh untuk menemukan dan memperbaiki potensi kerentanan.
Peristiwa ini sekali lagi menekankan pentingnya menerapkan langkah-langkah keamanan yang ketat dalam proyek DeFi, terutama saat melibatkan operasi kompleks seperti migrasi likuiditas. Pihak proyek harus terus memperhatikan masalah keamanan, melakukan audit kode secara berkala, dan membangun mekanisme manajemen risiko yang efektif.