Analisis Peristiwa Serangan Pinjaman Flash pada Cellframe Network

Pada 1 Juni 2023 pukul 10:07:55 (UTC+8), Cellframe Network diserang oleh hacker di blockchain karena masalah perhitungan jumlah token selama proses migrasi likuiditas. Serangan ini mengakibatkan hacker meraup keuntungan sekitar 76.112 dolar.

Analisis Proses Serangan

Penyerang melaksanakan serangan melalui langkah-langkah berikut:

1. Menggunakan Pinjaman Flash untuk mendapatkan 1000 BNB dan 500.000 token New Cell.
2. Menukar semua token New Cell menjadi BNB, menyebabkan jumlah BNB di kolam mendekati nol.
3. Tukar 900 BNB dengan token Old Cell.
4. Sebelum serangan, penyerang menambahkan likuiditas Old Cell dan BNB, mendapatkan Old lp.
5. Memanggil fungsi migrasi likuiditas. Pada saat ini, kolam baru hampir tidak memiliki BNB, dan kolam lama hampir tidak memiliki token Old Cell.

Proses migrasi mencakup:

• Menghapus likuiditas lama, mengembalikan token yang sesuai kepada pengguna.
• Tambahkan likuiditas baru sesuai dengan proporsi kolam baru.

Karena token Old Cell di kolam lama langka, jumlah BNB yang diperoleh saat menghapus likuiditas meningkat, sementara Old Cell berkurang. Ini menyebabkan pengguna hanya memerlukan sedikit BNB dan New Cell untuk mendapatkan likuiditas, BNB dan Old Cell yang berlebihan akan dikembalikan kepada pengguna.

6. Penyerang menghapus likuiditas kolam baru, dan menukar Old Cell yang dikembalikan menjadi BNB.
7. Melakukan operasi migrasi berulang untuk menghasilkan keuntungan.

Penyebab Kerentanan dan Saran Pencegahan

Alasan dasar keberhasilan serangan adalah masalah perhitungan dalam proses migrasi likuiditas. Untuk mencegah serangan serupa, disarankan:

1. Saat memindahkan likuiditas, perlu mempertimbangkan perubahan jumlah kedua token di kolam lama dan baru serta harga saat ini.
2. Hindari hanya mengandalkan jumlah dua token dalam pasangan perdagangan untuk perhitungan, karena ini mudah dimanipulasi.
3. Lakukan audit keamanan menyeluruh sebelum kode diluncurkan untuk menemukan dan memperbaiki potensi kerentanan.

Peristiwa ini sekali lagi menekankan pentingnya keamanan kode dan evaluasi risiko yang komprehensif di bidang keuangan terdesentralisasi. Pihak proyek harus selalu waspada dan terus meningkatkan langkah-langkah keamanan untuk melindungi aset pengguna dan menjaga stabilitas ekosistem.