Cellframe Network sufrió un ataque de manipulación de liquidez, con pérdidas superiores a 70,000 dólares.

El 1 de junio de 2023, Cellframe Network fue hackeada en la cadena inteligente debido a problemas de cálculo durante el proceso de migración de Liquidez, lo que resultó en una pérdida de aproximadamente 76,112 dólares.

Análisis de eventos

Los atacantes aprovechan la función de préstamo relámpago para obtener grandes cantidades de fondos, manipulando la proporción de tokens en el pool de Liquidez para llevar a cabo el ataque. Todo el proceso de ataque se puede dividir en los siguientes pasos:

1. El atacante primero obtiene un préstamo relámpago de 1000 BNB y 500,000 tokens New Cell.
2. Intercambiar todos los tokens New Cell por BNB, lo que provoca que el BNB en el fondo esté casi agotado.
3. Intercambia 900 BNB por tokens Old Cell.
4. Antes del ataque, el atacante agregó liquidez de Old Cell y BNB, obteniendo Old lp.
5. Llamar a la función de migración de liquidez, en este momento la nueva piscina tiene casi no BNB y la piscina antigua tiene casi no tokens Old Cell.
6. Durante el proceso de migración, debido a la escasez de tokens Old Cell en la antigua piscina, la cantidad de BNB obtenida al retirar liquidez aumenta, mientras que la cantidad de tokens Old Cell disminuye.
7. El usuario solo necesita agregar una pequeña cantidad de BNB y el token New Cell para obtener Liquidez, y el BNB y el token Old Cell sobrantes se devolverán al usuario.
8. El atacante elimina la Liquidez del nuevo grupo y cambia los tokens Old Cell devueltos por BNB.
9. Por último, el atacante canjea el token Old Cell nuevamente por BNB, completando así la ganancia.

Causa raíz del ataque

El problema de cálculo durante el proceso de migración de liquidez es la causa fundamental de este ataque. Los atacantes aprovecharon la vulnerabilidad del algoritmo de migración manipulando la proporción de tokens en el fondo.

Consejos de seguridad

1. Al realizar la migración de liquidez, se debe considerar de manera integral el cambio en la cantidad de los dos tokens en los antiguos y nuevos fondos, así como el precio actual.
2. Evita depender únicamente de la cantidad de dos monedas en el par de negociación para realizar cálculos, ya que esto puede ser manipulado.
3. Antes de que el código se implemente, se debe llevar a cabo una auditoría de seguridad exhaustiva para identificar y corregir posibles vulnerabilidades.

Este incidente destaca una vez más la importancia de la seguridad en el diseño e implementación de mecanismos de gestión de Liquidez en proyectos DeFi. Los desarrolladores del proyecto deben manejar con mayor cautela las operaciones que involucran flujos de grandes cantidades de dinero y realizar una evaluación de seguridad exhaustiva antes de la implementación.