Анализ инцидента с флеш-атакой займа на сети Cellframe
1 июня 2023 года в 10:07:55 (UTC+8) сеть Cellframe была атакована хакерами на смарт-чейне из-за проблемы с расчетом количества токенов в процессе миграции ликвидности. Эта атака принесла хакерам прибыль около 76 112 долларов.
Анализ процесса атаки
Атакующий осуществил атаку следующими шагами:
Используйте Срочные займы, чтобы получить 1000 BNB и 500000 токенов New Cell.
Обменять все токены New Cell на BNB, что приведет к тому, что количество BNB в пуле приблизится к нулю.
Обменять 900 BNB на токены Old Cell.
Перед атакой злоумышленник добавил ликвидность Old Cell и BNB, получив Old lp.
Вызов функции миграции ликвидности. В это время в новом пуле почти нет BNB, а в старом пуле почти нет токенов Old Cell.
Процесс миграции включает:
Удалите старую ликвидность и верните соответствующие токены пользователям.
Добавить новую ликвидность в соответствии с пропорциями нового пула.
Из-за дефицита токенов Old Cell в старом пуле, при удалении ликвидности количество получаемых BNB увеличивается, а количество Old Cell уменьшается. Это приводит к тому, что пользователям требуется лишь небольшое количество BNB и New Cell для получения ликвидности, а избыточные BNB и Old Cell будут возвращены пользователям.
Атакующий удаляет ликвидность нового пула и обменивает возвращённый Old Cell на BNB.
Повторите операцию миграции для получения прибыли.
Причины уязвимости и рекомендации по предотвращению
Основная причина успешной атаки заключается в проблемах с расчетами в процессе миграции ликвидности. Для предотвращения подобных атак рекомендуется:
При миграции ликвидности следует полностью учитывать изменения в количестве двух токенов в старом и новом пуле, а также текущее ценовое соотношение.
Избегайте полагаться исключительно на количество двух токенов в торговой паре для расчётов, так как это легко поддается манипуляциям.
Проведение комплексного аудита безопасности перед запуском кода для выявления и исправления потенциальных уязвимостей.
Это событие еще раз подчеркивает важность безопасности кода и комплексной оценки рисков в области децентрализованных финансов. Проектная команда должна всегда быть на чеку, постоянно совершенствуя меры безопасности для защиты активов пользователей и поддержания стабильности экосистемы.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
15 Лайков
Награда
15
6
Репост
Поделиться
комментарий
0/400
HasCooledDown
· 10ч назад
Дурак, сообщения 23 года все еще отправляются
Посмотреть ОригиналОтветить0
AirdropGrandpa
· 11ч назад
Тс-тс, Срочные займы снова попали в беду.
Посмотреть ОригиналОтветить0
BridgeTrustFund
· 11ч назад
Снова были использованы Клиповые купоны?
Посмотреть ОригиналОтветить0
WagmiWarrior
· 11ч назад
Эти деньги я не взял много.
Посмотреть ОригиналОтветить0
NFTRegretful
· 11ч назад
Эти деньги заработаны на Срочных займах, руки довольно уверенные.
Посмотреть ОригиналОтветить0
OnchainFortuneTeller
· 11ч назад
Батист батист Этот хакерский труд слишком любительский
Сеть Cellframe подверглась флеш-атаке займа, Хакер получил прибыль в 76 000 долларов.
Анализ инцидента с флеш-атакой займа на сети Cellframe
1 июня 2023 года в 10:07:55 (UTC+8) сеть Cellframe была атакована хакерами на смарт-чейне из-за проблемы с расчетом количества токенов в процессе миграции ликвидности. Эта атака принесла хакерам прибыль около 76 112 долларов.
Анализ процесса атаки
Атакующий осуществил атаку следующими шагами:
Процесс миграции включает:
Из-за дефицита токенов Old Cell в старом пуле, при удалении ликвидности количество получаемых BNB увеличивается, а количество Old Cell уменьшается. Это приводит к тому, что пользователям требуется лишь небольшое количество BNB и New Cell для получения ликвидности, а избыточные BNB и Old Cell будут возвращены пользователям.
Причины уязвимости и рекомендации по предотвращению
Основная причина успешной атаки заключается в проблемах с расчетами в процессе миграции ликвидности. Для предотвращения подобных атак рекомендуется:
Это событие еще раз подчеркивает важность безопасности кода и комплексной оценки рисков в области децентрализованных финансов. Проектная команда должна всегда быть на чеку, постоянно совершенствуя меры безопасности для защиты активов пользователей и поддержания стабильности экосистемы.