Cellframe Network подвергся атаке манипуляции ликвидностью, убытки превышают 70 000 долларов США

1 июня 2023 года сеть Cellframe подверглась хакерской атаке на смарт-чейне из-за вычислительных проблем в процессе миграции ликвидности, что привело к убыткам в размере около 76,112 долларов.

Анализ событий

Атакующий использует функцию мгновенного займа для получения большого количества средств, манипулируя соотношением токенов в ликвидностном пуле для реализации атаки. Весь процесс атаки можно разделить на несколько этапов:

1. Атакующий сначала получает 1000 BNB и 500000 токенов New Cell через кредит на мгновение.
2. Обменять все токены New Cell на BNB, что приведет к почти исчерпанию BNB в пуле.
3. Обменять 900 BNB на токены Old Cell.
4. Перед атакой злоумышленник добавил ликвидность Old Cell и BNB, получив Old lp.
5. Вызов функции миграции ликвидности, в это время в новом пуле почти нет BNB, а в старом пуле почти нет токенов Old Cell.
6. В процессе миграции, из-за нехватки токенов Old Cell в старом пуле, количество BNB, получаемое при удалении ликвидности, увеличивается, а количество токенов Old Cell уменьшается.
7. Пользователю нужно добавить небольшое количество BNB и токенов New Cell, чтобы получить Ликвидность, а избыточные BNB и токены Old Cell возвращаются пользователю.
8. Атакующий удаляет ликвидность нового пула и обменивает возвращенные токены Old Cell на BNB.
9. В конце концов, злоумышленник снова обменяет токены Old Cell на BNB, завершив получение прибыли.

Причины атаки

Проблемы с расчетами в процессе миграции ликвидности являются основной причиной этой атаки. Нападающий воспользовался уязвимостью алгоритма миграции, манипулируя пропорциями токенов в пуле.

Рекомендации по безопасности

1. При выполнении миграции ликвидности необходимо всесторонне учитывать изменения количества двух токенов в старом и новом пуле, а также текущую цену.
2. Избегайте полагаться только на количество двух валют в торговой паре для расчетов, это легко поддается манипуляциям.
3. Перед запуском кода необходимо провести всесторонний аудит безопасности, чтобы выявить и устранить потенциальные уязвимости.

Этот инцидент вновь подчеркивает важность безопасности при проектировании и реализации механизмов управления Ликвидностью в DeFi проектах. Команды проектов должны более осторожно подходить к операциям, связанным с большими объемами денежных средств, и проводить всестороннюю оценку безопасности перед развертыванием.