1 червня 2023 року о 10:07:55 Cellframe Network зазнав хакерської атаки на мережі BSC через проблеми з розрахунком токенів під час процесу міграції ліквідності. Ця атака призвела до збитків приблизно 76,112 доларів.
Деталі атаки
Атакуючий реалізував атаку за такими кроками:
Використовуйте Термінові позики, щоб отримати 1000 BNB та 500000 токенів New Cell
Обміняти всі токени New Cell на BNB, що призвело до майже повного вичерпання BNB у пулі.
Обміняти 900 BNB на токени Old Cell
Додати ліквідність Old Cell та BNB перед атакою, отримати Old lp
Виклик функції міграції ліквідності
Під час атаки в новому пулі майже немає BNB, а в старому пулі майже немає токенів Old Cell. Такий стан призводить до збільшення кількості BNB, що отримується при видаленні старої ліквідності, та зменшення кількості токенів Old Cell.
Процес міграції ліквідності включає:
Видалити стару ліквідність, повернути токени користувачам
Додати нову ліквідність відповідно до нового співвідношення пулу
Оскільки пропорції пулу були маніпульовані, зловмиснику потрібно лише додати невелику кількість BNB та токенів New Cell, щоб отримати ліквідність, а надлишкові BNB та токени Old Cell повертаються.
Нарешті, зловмисник видаляє ліквідність нового пулу, обмінює повернуті токени Old Cell на BNB та завершує отримання прибутку. Потім повторно виконує операцію міграції.
Причини вразливості
Існує проблема з розрахунком кількості токенів під час процесу міграції ліквідності. Пряме використання кількості двох токенів у торговій парі для розрахунку може бути легко зловмисно маніпульоване.
Рекомендації з безпеки
При міграції ліквідності слід враховувати зміни кількості обох токенів у новому та старому пулі, а також поточну ціну токенів.
Уникайте покладатися лише на кількість токенів у торговій парі для розрахунків, цей метод легко піддається маніпуляціям.
Перед запуском коду обов'язково проведіть всебічний аудит безпеки для виявлення та виправлення потенційних вразливостей.
Ця подія ще раз підкреслила важливість впровадження суворих заходів безпеки в DeFi-проектах, особливо під час виконання складних операцій, таких як міграція ліквідності. Команда проекту повинна постійно звертати увагу на питання безпеки, регулярно проводити аудит коду та створювати ефективні механізми управління ризиками.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Cellframe Network зазнав флеш-атаки, внаслідок якої було втрачено 76 тисяч доларів США.
Аналіз інциденту флеш-атаки на Cellframe Network
1 червня 2023 року о 10:07:55 Cellframe Network зазнав хакерської атаки на мережі BSC через проблеми з розрахунком токенів під час процесу міграції ліквідності. Ця атака призвела до збитків приблизно 76,112 доларів.
Деталі атаки
Атакуючий реалізував атаку за такими кроками:
Під час атаки в новому пулі майже немає BNB, а в старому пулі майже немає токенів Old Cell. Такий стан призводить до збільшення кількості BNB, що отримується при видаленні старої ліквідності, та зменшення кількості токенів Old Cell.
Процес міграції ліквідності включає:
Оскільки пропорції пулу були маніпульовані, зловмиснику потрібно лише додати невелику кількість BNB та токенів New Cell, щоб отримати ліквідність, а надлишкові BNB та токени Old Cell повертаються.
Нарешті, зловмисник видаляє ліквідність нового пулу, обмінює повернуті токени Old Cell на BNB та завершує отримання прибутку. Потім повторно виконує операцію міграції.
Причини вразливості
Існує проблема з розрахунком кількості токенів під час процесу міграції ліквідності. Пряме використання кількості двох токенів у торговій парі для розрахунку може бути легко зловмисно маніпульоване.
Рекомендації з безпеки
При міграції ліквідності слід враховувати зміни кількості обох токенів у новому та старому пулі, а також поточну ціну токенів.
Уникайте покладатися лише на кількість токенів у торговій парі для розрахунків, цей метод легко піддається маніпуляціям.
Перед запуском коду обов'язково проведіть всебічний аудит безпеки для виявлення та виправлення потенційних вразливостей.
Ця подія ще раз підкреслила важливість впровадження суворих заходів безпеки в DeFi-проектах, особливо під час виконання складних операцій, таких як міграція ліквідності. Команда проекту повинна постійно звертати увагу на питання безпеки, регулярно проводити аудит коду та створювати ефективні механізми управління ризиками.