Análise do incidente de ataque de empréstimo flash na Cellframe Network
No dia 1 de junho de 2023, às 10h07min55s, a Cellframe Network foi atacada por hackers na cadeia BSC devido a um problema de cálculo de tokens durante o processo de migração de liquidez. Este ataque resultou em uma perda de aproximadamente 76.112 dólares.
Detalhes do Ataque
O atacante implementou o ataque através dos seguintes passos:
Utilizar Empréstimos Flash para obter 1000 BNB e 500000 tokens New Cell
Trocar todos os tokens New Cell por BNB, resultando em BNB quase esgotado na piscina.
Trocar 900 BNB por tokens Old Cell
Adicionar liquidez de Old Cell e BNB antes do ataque, obter Old lp
Chamar a função de migração de liquidez
Durante o ataque, quase não havia BNB no novo pool, enquanto quase não havia tokens Old Cell no pool antigo. Esse estado levou ao aumento da quantidade de BNB obtida ao remover a liquidez antiga, enquanto a quantidade de tokens Old Cell diminuiu.
O processo de migração de liquidez inclui:
Remover a liquidez antiga, devolver os tokens aos usuários
Adicionar nova liquidez de acordo com a proporção do novo pool
Devido à manipulação da proporção do pool, o atacante só precisa adicionar uma pequena quantidade de BNB e tokens New Cell para obter liquidez, enquanto o excesso de BNB e tokens Old Cell é devolvido.
Por fim, o atacante remove a liquidez do novo pool, troca os tokens Old Cell devolvidos por BNB e completa o lucro. Em seguida, repete a operação de migração.
Causa da Vulnerabilidade
Há problemas na contagem da quantidade de tokens durante o processo de migração de liquidez. Usar diretamente a quantidade das duas tokens na par de negociação para calcular facilita a manipulação maliciosa.
Sugestões de Segurança
Ao migrar a liquidez, deve-se considerar de forma abrangente as mudanças na quantidade de tokens dos dois pools, bem como o preço atual dos tokens.
Evite depender apenas da quantidade de tokens na paridade de negociação para cálculos, pois esse método pode ser facilmente manipulado.
Antes de colocar o código em produção, é imprescindível realizar uma auditoria de segurança abrangente para identificar e corrigir vulnerabilidades potenciais.
Este evento sublinha novamente a importância de implementar medidas de segurança rigorosas em projetos DeFi, especialmente em operações complexas envolvendo migração de liquidez. As equipes de projeto devem manter uma atenção contínua às questões de segurança, realizar auditorias de código regularmente e estabelecer mecanismos eficazes de gestão de riscos.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
A Cellframe Network sofreu um ataque de empréstimo flash, com uma perda de 76 mil dólares.
Análise do incidente de ataque de empréstimo flash na Cellframe Network
No dia 1 de junho de 2023, às 10h07min55s, a Cellframe Network foi atacada por hackers na cadeia BSC devido a um problema de cálculo de tokens durante o processo de migração de liquidez. Este ataque resultou em uma perda de aproximadamente 76.112 dólares.
Detalhes do Ataque
O atacante implementou o ataque através dos seguintes passos:
Durante o ataque, quase não havia BNB no novo pool, enquanto quase não havia tokens Old Cell no pool antigo. Esse estado levou ao aumento da quantidade de BNB obtida ao remover a liquidez antiga, enquanto a quantidade de tokens Old Cell diminuiu.
O processo de migração de liquidez inclui:
Devido à manipulação da proporção do pool, o atacante só precisa adicionar uma pequena quantidade de BNB e tokens New Cell para obter liquidez, enquanto o excesso de BNB e tokens Old Cell é devolvido.
Por fim, o atacante remove a liquidez do novo pool, troca os tokens Old Cell devolvidos por BNB e completa o lucro. Em seguida, repete a operação de migração.
Causa da Vulnerabilidade
Há problemas na contagem da quantidade de tokens durante o processo de migração de liquidez. Usar diretamente a quantidade das duas tokens na par de negociação para calcular facilita a manipulação maliciosa.
Sugestões de Segurança
Ao migrar a liquidez, deve-se considerar de forma abrangente as mudanças na quantidade de tokens dos dois pools, bem como o preço atual dos tokens.
Evite depender apenas da quantidade de tokens na paridade de negociação para cálculos, pois esse método pode ser facilmente manipulado.
Antes de colocar o código em produção, é imprescindível realizar uma auditoria de segurança abrangente para identificar e corrigir vulnerabilidades potenciais.
Este evento sublinha novamente a importância de implementar medidas de segurança rigorosas em projetos DeFi, especialmente em operações complexas envolvendo migração de liquidez. As equipes de projeto devem manter uma atenção contínua às questões de segurança, realizar auditorias de código regularmente e estabelecer mecanismos eficazes de gestão de riscos.