Cellframe Network遭флеш-атака Ліквідність迁移漏洞致76,112美元损失

robot
Генерація анотацій у процесі

Аналіз інциденту атаки на Cellframe Network за допомогою Термінові позики

1 червня 2023 року о 10:07:55 (UTC+8) мережа Cellframe зазнала хакерської атаки через проблему обчислення кількості токенів під час процесу міграції ліквідності на певному смарт-ланцюгу. Ця атака призвела до прибутку хакера в розмірі 76,112 доларів.

Web3 безпека | Аналіз події атаки на пропорції пулу Cellframe Network через Термінові позики

Деталі атаки

Хакери використовують функцію Термінові позики для отримання великої кількості коштів і токенів, маніпулюючи пропорціями токенів у ліквіднісному пулі для здійснення атаки. Процес атаки в основному включає такі етапи:

  1. Отримання коштів: отримати 1000 рідних токенів певного ланцюга та 500000 токенів New Cell за допомогою Термінові позики.

  2. Маніпуляція ліквідністю: обміняти всі токени New Cell на рідні токени, що призведе до майже нульової кількості рідних токенів у пулі. Потім обміняти 900 рідних токенів на токени Old Cell.

  3. Додавання ліквідності: перед атакою хакер додає ліквідність до ліквіднісного пулу Old Cell та рідного токена, отримуючи Old lp.

  4. Виклик міграції ліквідності: викликати функцію міграції ліквідності. На цей момент у новому пулі майже немає рідних токенів, а в старому пулі майже немає токенів Old Cell.

  5. Використання обчислювальних вразливостей: оскільки кількість токенів Old Cell у старому пулі дуже мала, кількість отриманих нативних токенів під час видалення ліквідності збільшується, тоді як кількість токенів Old Cell зменшується. Це призводить до того, що користувачам потрібно додати лише невелику кількість нативних токенів і токенів New Cell, щоб отримати ліквідність, а надлишкові токени повертаються користувачеві.

  6. Завершення атаки: Хакер видаляє ліквідність нового пулу і обмінює повернуті токени Old Cell на рідні токени. Потім, використовуючи велику кількість токенів Old Cell в старому пулі, але без рідних токенів, токени Old Cell знову обмінюються на рідні токени, що призводить до отримання прибутку.

Web3 безпека | Аналіз випадку атаки на Cellframe Network через Термінові позики

Web3 безпека | Аналіз інциденту, що стався через флеш-атаки на пропорції пулу Cellframe Network

Web3 безпека | Аналіз інциденту з атаками на пул Cellframe Network через Термінові позики

Web3 безпека | Аналіз інциденту атаки на пропорції пулу Cellframe Network через Термінові позики

Причини вразливостей та рекомендації щодо запобігання

Основна причина цієї атаки полягає в проблемах з обчисленнями під час процесу міграції ліквідності. Зловмисник маніпулював пропорціями токенів у пулі, використавши вразливість у функції міграції.

Щоб запобігти подібним атакам, рекомендується вжити такі заходи:

  1. Комплексний підхід: при міграції ліквідності слід повністю враховувати зміни в кількості двох токенів у нових та старих пулах, а також поточну ціну токенів.

  2. Уникайте простих обчислень: не слід покладатися лише на кількість двох валют у торговій парі для прямих підрахунків, оскільки це може бути маніпульовано зловмисниками.

  3. Аудит безпеки: перед запуском коду обов'язково проведіть всебічний і строгий аудит безпеки для виявлення та усунення потенційних вразливостей.

Ця подія ще раз підкреслила важливість безпеки та надійності при проектуванні та впровадженні складних фінансових операцій. Команди проектів повинні завжди бути на чеку та постійно вдосконалювати свої заходи безпеки.

Web3 безпека | Аналіз випадку атаки на пропорції пулу Cellframe Network через Термінові позики

Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • Нагородити
  • 6
  • Поділіться
Прокоментувати
0/400
BridgeTrustFundvip
· 5год тому
Досить мало грошей, але це ж знаходження грошей, так?
Переглянути оригіналвідповісти на0
MeaninglessApevip
· 07-13 09:59
Знову термінові позики~ невеликий збиток
Переглянути оригіналвідповісти на0
SmartContractPlumbervip
· 07-13 09:56
Ще один живий приклад запуску без проходження аудиту
Переглянути оригіналвідповісти на0
GasWastingMaximalistvip
· 07-13 09:52
Цього вкрадено досить мало.
Переглянути оригіналвідповісти на0
FarmToRichesvip
· 07-13 09:45
Знову хороший час для продажу нирки.
Переглянути оригіналвідповісти на0
ApeWithNoChainvip
· 07-13 09:37
обдурювали людей, як лохів, справді недосвідчений
Переглянути оригіналвідповісти на0
  • Закріпити