تعرضت شبكة Cellframe لهجوم على السيولة، وخسائر تجاوزت 70,000 دولار أمريكي

في 1 يونيو 2023، تعرضت شبكة Cellframe لهجوم من قبل القراصنة بسبب مشكلة حسابية خلال عملية نقل السيولة على سلسلة الذكاء، مما أدى إلى خسارة تقدر بحوالي 76,112 دولار.

تحليل الحدث

استغل المهاجمون وظيفة القروض السريعة للحصول على كميات كبيرة من الأموال، من خلال التلاعب بنسب الرموز في حوض السيولة لتنفيذ الهجوم. يمكن تقسيم عملية الهجوم بأكملها إلى الخطوات التالية:

1. يحصل المهاجم أولاً على 1000 BNB و 500,000 من رموز New Cell من قرض سريع.
2. تحويل جميع رموز New Cell إلى BNB، مما أدى إلى قرب نفاد BNB في المسبح.
3. استبدال 900 BNB برمز Old Cell.
4. قبل الهجوم، أضاف المهاجم السيولة لـ Old Cell و BNB، وحصل على Old lp.
5. استدعاء دالة نقل السيولة، في هذه اللحظة تحتوي الحوض الجديد تقريبًا على لا شيء من BNB، بينما يحتوي الحوض القديم تقريبًا على لا شيء من رموز Old Cell.
6. خلال عملية النقل، بسبب نقص الرموز القديمة في الحوض القديم، تزداد كمية BNB المكتسبة عند إزالة السيولة، بينما تنخفض كمية الرموز القديمة.
7. يحتاج المستخدم فقط إلى إضافة كمية صغيرة من BNB وتوكن New Cell للحصول على السيولة، وسيتم إعادة BNB الزائد وتوكن Old Cell إلى المستخدم.
8. المهاجم يزيل السيولة من الحوض الجديد، ويقوم بتحويل رموز Old Cell المستردة إلى BNB.
9. أخيرًا، يقوم المهاجم بإعادة تحويل رموز Old Cell إلى BNB، مما يكمل الربح.

الأسباب الجذرية للهجوم

مشكلة الحساب خلال عملية انتقال السيولة هي السبب الجذري لهذا الهجوم. قام المهاجمون من خلال التلاعب بنسبة الرموز في المسبح باستغلال ثغرة خوارزمية الانتقال.

نصائح الأمان

1. عند إجراء انتقال السيولة، يجب النظر بشكل شامل في التغيرات في كميات الرمزين في الحوضين القديم والجديد والأسعار الحالية.
2. تجنب الاعتماد فقط على عدد العملتين في زوج التداول، حيث يمكن التلاعب بذلك بسهولة.
3. يجب إجراء تدقيق أمني شامل قبل إطلاق الشفرة لاكتشاف وإصلاح الثغرات المحتملة.

تسلط هذه الحادثة الضوء مرة أخرى على أهمية الأمان في تصميم وتنفيذ آليات إدارة السيولة لمشاريع DeFi. يحتاج القائمون على المشروع إلى التعامل بحذر أكبر مع العمليات التي تنطوي على تدفقات مالية كبيرة، وإجراء تقييم شامل للأمان قبل النشر.