Jaringan Cellframe mengalami serangan manipulasi likuiditas, kerugian lebih dari 70.000 dolar AS

Pada 1 Juni 2023, Cellframe Network mengalami serangan hacker di blockchain akibat masalah perhitungan dalam proses migrasi likuiditas, menyebabkan kerugian sekitar 76.112 dolar AS.

Analisis Peristiwa

Penyerang mengeksploitasi pinjaman kilat untuk mendapatkan akses ke dana dalam jumlah besar dan melakukan serangan dengan memanipulasi proporsi token dalam kumpulan likuiditas. Seluruh proses serangan dapat dibagi menjadi langkah-langkah berikut:

1. Penyerang pertama-tama mendapatkan 1000 BNB dan 500.000 token New Cell melalui pinjaman kilat.
2. Menukar semua token New Cell menjadi BNB, mengakibatkan BNB di dalam kolam hampir habis.
3. Tukarkan 900 BNB untuk token Old Cell.
4. Sebelum menyerang, penyerang menambahkan likuiditas Old Cell dan BNB, mendapatkan Old lp.
5. Memanggil fungsi migrasi likuiditas, pada saat ini hampir tidak ada BNB di kolam baru, dan hampir tidak ada token Old Cell di kolam lama.
6. Selama proses migrasi, karena kelangkaan token Old Cell di kolam lama, jumlah BNB yang diperoleh saat menghapus likuiditas meningkat, sementara jumlah token Old Cell berkurang.
7. Pengguna hanya perlu menambahkan sedikit BNB dan token New Cell untuk mendapatkan Likuiditas, BNB dan token Old Cell yang lebih akan dikembalikan kepada pengguna.
8. Penyerang menghapus likuiditas dari kolam baru dan menukarkan token Old Cell yang dikembalikan menjadi BNB.
9. Terakhir, penyerang menukarkan token Old Cell kembali menjadi BNB, menyelesaikan keuntungan.

Penyebab Dasar Serangan

Masalah perhitungan dalam proses migrasi likuiditas adalah penyebab utama serangan ini. Penyerang memanfaatkan celah dalam algoritma migrasi dengan memanipulasi proporsi token di dalam kolam.

Saran Keamanan

1. Dalam melakukan migrasi likuiditas, perlu mempertimbangkan secara menyeluruh perubahan jumlah dua jenis token di kolam lama dan baru serta harga saat ini.
2. Hindari hanya mengandalkan jumlah dua jenis mata uang dalam pasangan perdagangan untuk perhitungan, karena ini mudah dimanipulasi.
3. Sebelum kode diluncurkan, audit keamanan menyeluruh harus dilakukan untuk mengidentifikasi dan memperbaiki potensi celah.

Peristiwa ini sekali lagi menyoroti pentingnya keamanan dalam merancang dan melaksanakan mekanisme manajemen likuiditas untuk proyek DeFi. Pihak proyek perlu lebih berhati-hati dalam menangani operasi yang melibatkan aliran dana dalam jumlah besar, dan melakukan evaluasi keamanan yang menyeluruh sebelum penerapan.