Cellframe Network sofreu um ataque de manipulação de Liquidez, com perdas superiores a 70 mil dólares

No dia 1 de junho de 2023, a Cellframe Network foi alvo de um ataque hacker na Smart Chain devido a problemas de cálculo durante o processo de migração de liquidez, resultando em perdas de aproximadamente 76,112 dólares.

Análise de Eventos

Os atacantes utilizam a funcionalidade de empréstimo relâmpago para obter grandes quantidades de fundos, manipulando a proporção de tokens no pool de liquidez para realizar o ataque. Todo o processo de ataque pode ser dividido nos seguintes passos:

1. O atacante primeiro obtém um empréstimo relâmpago de 1000 BNB e 500000 tokens New Cell.
2. Troque todos os tokens New Cell por BNB, fazendo com que o BNB na piscina esteja quase esgotado.
3. Trocar 900 BNB por Old Cell tokens.
4. Antes do ataque, o atacante adicionou liquidez de Old Cell e BNB, obtendo Old lp.
5. Chamar a função de migração de Liquidez, neste momento a nova piscina tem quase nenhum BNB, e a piscina antiga tem quase nenhum token Old Cell.
6. Durante o processo de migração, devido à escassez de tokens Old Cell no antigo pool, a quantidade de BNB obtida ao remover a Liquidez aumenta, enquanto a quantidade de tokens Old Cell diminui.
7. O usuário só precisa adicionar uma pequena quantidade de BNB e o token New Cell para obter Liquidez, e o BNB e o token Old Cell em excesso serão devolvidos ao usuário.
8. O atacante remove a liquidez do novo pool e troca os tokens Old Cell devolvidos por BNB.
9. Por fim, o atacante troca os tokens Old Cell de volta por BNB, completando o lucro.

Causa Raiz do Ataque

O problema de cálculo durante o processo de migração de liquidez é a causa fundamental deste ataque. Os atacantes exploraram a vulnerabilidade do algoritmo de migração manipulando a proporção de tokens no pool.

Sugestões de Segurança

1. Ao realizar a migração de Liquidez, deve-se considerar plenamente as mudanças nas quantidades das duas moedas nos novos e antigos pools, bem como o preço atual.
2. Evite confiar apenas na quantidade dos dois tipos de moeda na paridade de negociação para fazer cálculos, pois isso pode ser manipulado.
3. Antes do lançamento do código, deve ser realizada uma auditoria de segurança abrangente para identificar e corrigir vulnerabilidades potenciais.

Este incidente destaca novamente a importância da segurança na concepção e implementação de mecanismos de gestão de liquidez em projetos DeFi. As equipas dos projetos precisam ser mais cautelosas ao lidar com operações que envolvem movimentações de grandes quantias de fundos e realizar uma avaliação de segurança abrangente antes da implementação.