Cellframe Network a subi une attaque de manipulation de liquidité, avec des pertes de plus de 70 000 dollars.

Le 1er juin 2023, Cellframe Network a été victime d'une attaque par des hackers en raison de problèmes de calcul lors du processus de migration de Liquidité sur la chaîne intelligente, entraînant une perte d'environ 76 112 dollars.

Analyse des événements

Les attaquants utilisent la fonctionnalité de prêt éclair pour obtenir d'importants fonds, en manipulant le ratio des jetons dans le pool de liquidité pour mener à bien l'attaque. L'ensemble du processus d'attaque peut être divisé en plusieurs étapes :

1. L'attaquant obtient d'abord un prêt éclair de 1000 BNB et 500 000 jetons New Cell.
2. Échanger tous les jetons New Cell contre des BNB, ce qui entraîne une quasi-épuisement des BNB dans la piscine.
3. Échangez 900 BNB contre des jetons Old Cell.
4. Avant l'attaque, l'attaquant a ajouté de la liquidité pour Old Cell et BNB, obtenant Old lp.
5. Appeler la fonction de migration de liquidité, à ce stade, il n'y a presque pas de BNB dans la nouvelle piscine et presque pas de jetons Old Cell dans l'ancienne piscine.
6. Pendant le processus de migration, en raison de la rareté des tokens Old Cell dans l'ancienne réserve, le nombre de BNB obtenu lors du retrait de la liquidité augmente, tandis que le nombre de tokens Old Cell diminue.
7. L'utilisateur n'a besoin d'ajouter qu'un faible montant de BNB et de jetons New Cell pour obtenir de la liquidité, et le surplus de BNB et de jetons Old Cell sera remboursé à l'utilisateur.
8. L'attaquant retire la liquidité du nouveau pool et échange les jetons Old Cell retournés contre des BNB.
9. Enfin, l'attaquant reconvertit le jeton Old Cell en BNB, complétant ainsi son profit.

Causes fondamentales de l'attaque

Le problème de calcul lors du processus de migration de liquidité est la cause fondamentale de cette attaque. L'attaquant a exploité une faille de l'algorithme de migration en manipulant le rapport des jetons dans le pool.

Conseils de sécurité

1. Lors de la migration de liquidité, il convient de prendre en compte l'évolution des quantités des deux types de tokens dans les anciens et nouveaux pools ainsi que le prix actuel.
2. Évitez de vous fier uniquement à la quantité des deux cryptomonnaies dans la paire de trading pour effectuer des calculs, car cela peut facilement être manipulé.
3. Un audit de sécurité complet doit être effectué avant le déploiement du code pour identifier et corriger les vulnérabilités potentielles.

Cet événement met à nouveau en évidence l'importance de la sécurité lors de la conception et de la mise en œuvre des mécanismes de gestion de la Liquidité dans les projets DeFi. Les équipes de projet doivent traiter avec plus de prudence les opérations impliquant des mouvements de fonds importants et procéder à une évaluation de sécurité complète avant le déploiement.