Анализ событий атаки флеш-займа на Cellframe Network
1 июня 2023 года в 10:07:55 Cellframe Network подвергся хакерской атаке на BSC цепи из-за проблем с расчетом токенов в процессе миграции ликвидности. Эта атака привела к убыткам примерно в 76 112 долларов.
Детали атаки
Атакующий осуществил атаку следующими шагами:
Используйте Срочные займы для получения 1000 BNB и 500000 токенов New Cell
Обменять все токены New Cell на BNB, что приведет к почти исчерпанию BNB в пуле.
Обменять 900 BNB на токены Old Cell
Добавьте ликвидность Old Cell и BNB перед атакой, чтобы получить Old lp
Вызов функции миграции ликвидности
Во время атаки в новом пуле почти нет BNB, а в старом пуле почти нет токенов Old Cell. Это состояние приводит к тому, что при удалении старой ликвидности количество полученных BNB увеличивается, а количество токенов Old Cell уменьшается.
Процесс миграции ликвидности включает:
Удалить старую ликвидность, вернуть токены пользователям
Добавить новую ликвидность в соответствии с пропорциями нового пула
Из-за манипуляции с пропорциями пула, злоумышленнику достаточно добавить небольшое количество BNB и токенов New Cell, чтобы получить ликвидность, а избыточные BNB и токены Old Cell возвращаются.
В конце атакующий удаляет ликвидность нового пула, обменивает возвращенные токены Old Cell на BNB и завершает получение прибыли. Затем повторяет операцию миграции.
Причина уязвимости
Существует проблема вычисления количества токенов в процессе миграции ликвидности. Прямое использование количества двух токенов в торговой паре для расчетов легко поддается злонамеренному манипулированию.
Рекомендации по безопасности
При перемещении ликвидности необходимо всесторонне учитывать изменения количества токенов в старом и новом пуле, а также текущую цену токенов.
Избегайте полагаться только на количество токенов в торговой паре для расчетов, так как этот метод легко поддается манипуляциям.
Перед запуском кода обязательно проведите полную безопасность аудит, чтобы выявить и исправить потенциальные уязвимости.
Это событие снова подчеркивает важность внедрения строгих мер безопасности в проектах DeFi, особенно при выполнении сложных операций, таких как миграция ликвидности. Проектам следует постоянно уделять внимание вопросам безопасности, регулярно проводить аудит кода и устанавливать эффективные механизмы управления рисками.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Cellframe Network подвергся флеш-атаке займа, убытки составили 76 000 долларов.
Анализ событий атаки флеш-займа на Cellframe Network
1 июня 2023 года в 10:07:55 Cellframe Network подвергся хакерской атаке на BSC цепи из-за проблем с расчетом токенов в процессе миграции ликвидности. Эта атака привела к убыткам примерно в 76 112 долларов.
Детали атаки
Атакующий осуществил атаку следующими шагами:
Во время атаки в новом пуле почти нет BNB, а в старом пуле почти нет токенов Old Cell. Это состояние приводит к тому, что при удалении старой ликвидности количество полученных BNB увеличивается, а количество токенов Old Cell уменьшается.
Процесс миграции ликвидности включает:
Из-за манипуляции с пропорциями пула, злоумышленнику достаточно добавить небольшое количество BNB и токенов New Cell, чтобы получить ликвидность, а избыточные BNB и токены Old Cell возвращаются.
В конце атакующий удаляет ликвидность нового пула, обменивает возвращенные токены Old Cell на BNB и завершает получение прибыли. Затем повторяет операцию миграции.
Причина уязвимости
Существует проблема вычисления количества токенов в процессе миграции ликвидности. Прямое использование количества двух токенов в торговой паре для расчетов легко поддается злонамеренному манипулированию.
Рекомендации по безопасности
При перемещении ликвидности необходимо всесторонне учитывать изменения количества токенов в старом и новом пуле, а также текущую цену токенов.
Избегайте полагаться только на количество токенов в торговой паре для расчетов, так как этот метод легко поддается манипуляциям.
Перед запуском кода обязательно проведите полную безопасность аудит, чтобы выявить и исправить потенциальные уязвимости.
Это событие снова подчеркивает важность внедрения строгих мер безопасности в проектах DeFi, особенно при выполнении сложных операций, таких как миграция ликвидности. Проектам следует постоянно уделять внимание вопросам безопасности, регулярно проводить аудит кода и устанавливать эффективные механизмы управления рисками.