Cellframe Network, likidite manipülasyonu saldırısına uğradı, 70.000 dolardan fazla kayıp.

1 Haziran 2023'te, Cellframe Network akıllı zincir üzerinde likidite göçü sürecindeki hesaplama sorunları nedeniyle bir siber saldırıya uğradı ve yaklaşık 76,112 dolar zarar gördü.

Olay Analizi

Saldırganlar, hızlı kredi işlevini kullanarak büyük miktarda fon elde eder ve saldırıyı gerçekleştirmek için likidite havuzundaki token oranlarını manipüle eder. Tüm saldırı süreci aşağıdaki birkaç adıma ayrılabilir:

1. Saldırgan önce 1000 BNB ve 500.000 New Cell tokeninin flaş kredisini alır.
2. Tüm New Cell tokenlerini BNB'ye değiştirerek havuzdaki BNB'nin neredeyse tükenmesine neden oldu.
3. 900 BNB ile Old Cell token'ını değiştir.
4. Saldırıdan önce, saldırgan Old Cell ve BNB'nin Likidite'sini ekleyerek Old lp'yi elde etti.
5. Likidite taşıma fonksiyonu çağrıldığında, bu noktada yeni havuzda neredeyse hiç BNB yoktur, eski havuzda ise neredeyse hiç Old Cell tokeni yoktur.
6. Göç sürecinde, eski havuzda Old Cell tokenlerinin kıtlığı nedeniyle, likidite kaldırıldığında alınan BNB miktarı artarken, Old Cell tokenlerinin miktarı azalır.
7. Kullanıcılar sadece az miktarda BNB ve Yeni Hücre token'i ekleyerek likidite alabilirler, fazla BNB ve Eski Hücre token'i kullanıcılara iade edilir.
8. Saldırgan yeni havuzun likiditesini kaldırır ve iade edilen Eski Hücre tokenlerini BNB ile değiştirir.
9. Son olarak, saldırgan Old Cell token'ını yeniden BNB'ye çevirerek kar elde eder.

Saldırının Temel Nedeni

Likidite göç sürecindeki hesaplama sorunları, bu saldırının temel nedeniydir. Saldırganlar, havuzdaki tokenlerin oranını manipüle ederek, göç algoritmasındaki açığı kullandılar.

Güvenlik Önerileri

1. Likidite göçü gerçekleştirirken, yeni ve eski havuzlardaki iki tokenin miktarındaki değişiklikler ve mevcut fiyat dikkate alınmalıdır.
2. İşlem çiftindeki iki para biriminin miktarına dayanarak hesaplama yapmaktan kaçının, bu kolayca manipüle edilebilir.
3. Kod yayına alınmadan önce potansiyel açıkları bulmak ve düzeltmek için kapsamlı bir güvenlik denetimi yapılmalıdır.

Bu olay, DeFi projelerinin tasarımında ve likidite yönetim mekanizmalarının uygulanmasında güvenliğin önemini bir kez daha vurguladı. Proje sahipleri, büyük miktarda para hareketini içeren işlemleri daha dikkatli bir şekilde ele almalı ve dağıtımdan önce kapsamlı bir güvenlik değerlendirmesi yapmalıdır.