1 червня 2023 року о 10:07:55 (UTC+8) Cellframe Network зазнав хакерської атаки через проблеми з обчисленням кількості токенів під час процесу міграції ліквідності на певному смарт-ланцюзі. Ця атака призвела до прибутку хакерів у розмірі 76 112 доларів.
Аналіз події
Зловмисники використовують функцію Термінові позики для отримання великої кількості коштів, маніпулюючи пропорціями токенів у ліквідних пулах для здійснення атаки. Процес атаки включає в себе наступні етапи:
Атакуючий отримує 1000 рідних токенів певного ланцюга та 500000 токенів New Cell через Термінові позики.
Обміняти всі токени New Cell на рідні токени, що призведе до того, що кількість рідних токенів у пулі наблизиться до нуля.
Обміняти 900 рідних токенів на токени Old Cell.
Перед атакою зловмисник додав ліквідність Old Cell та рідних токенів, отримавши Old lp.
Виклик функції міграції ліквідності, в цей момент у новому пулі майже немає рідних токенів, а в старому пулі майже немає токенів Old Cell.
Детальний опис процесу атаки
Процес міграції включає наступні етапи:
Видалити стару ліквідність, повернувши відповідну кількість токенів користувачу.
Додати нову ліквідність відповідно до пропорцій нового пулу.
Оскільки в старому пулі практично немає токенів Old Cell, кількість отриманих рідних токенів під час видалення ліквідності збільшується, а кількість токенів Old Cell зменшується. Це призводить до того, що користувачам потрібно додати лише невелику кількість рідних токенів та токенів New Cell, щоб отримати ліквідність, а надлишкові рідні токени та токени Old Cell повертаються користувачам.
Атакуюча сторона потім видаляє ліквідність нового пулу та обмінює повернуті токени Old Cell на рідні токени. На цей момент у старому пулі є велика кількість токенів Old Cell, але немає рідних токенів, атакуюча сторона знову обмінює токени Old Cell на рідні токени, завершуючи отримання прибутку. Атакуюча сторона багаторазово повторює цю операцію, щоб отримати більше прибутку.
Підсумок та рекомендації
Ця атака виявила важливу вразливість при обробці міграції ліквідності. Для запобігання подібним атакам рекомендується вжити такі заходи:
Під час міграції ліквідності слід всебічно враховувати зміни в кількості двох токенів у старому та новому пулі, а також поточну ціну токенів.
Уникайте прямого використання кількостей двох монет у торговій парі для розрахунків, оскільки це легко може бути маніпульовано.
Провести всебічний аудит безпеки перед запуском коду, щоб виявити та виправити потенційні вразливості.
Ця подія ще раз підкреслює важливість безпеки та надійності при проектуванні та впровадженні децентралізованих фінансових протоколів. Команда розробників повинна завжди бути насторожі та вжити багатошарових заходів для забезпечення безпеки коштів користувачів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
7
Поділіться
Прокоментувати
0/400
GweiTooHigh
· 13год тому
Знову даємо гроші хакерам!
Переглянути оригіналвідповісти на0
UncleWhale
· 19год тому
Знову впав один, не дуже сумно.
Переглянути оригіналвідповісти на0
AirdropATM
· 08-02 17:54
Ще один проект "铁憨憨"
Переглянути оригіналвідповісти на0
BitcoinDaddy
· 08-02 17:51
Знову обман для дурнів.
Переглянути оригіналвідповісти на0
OldLeekMaster
· 08-02 17:51
Ще один обдурювач людей, як лохів
Переглянути оригіналвідповісти на0
RugResistant
· 08-02 17:51
Ще один новачок був обдурений?
Переглянути оригіналвідповісти на0
MemecoinResearcher
· 08-02 17:43
ngmi... ще одна експлуатація флеш-кредитів, що підтверджує мою тезу про зниження альфа через низьку ліквідність, чесно кажучи
Cellframe зазнав флеш-атаки на суму 76,112 доларів. Вразливість міграції ліквідності стала в центрі уваги.
Аналіз інциденту флеш-атаки на Cellframe Network
1 червня 2023 року о 10:07:55 (UTC+8) Cellframe Network зазнав хакерської атаки через проблеми з обчисленням кількості токенів під час процесу міграції ліквідності на певному смарт-ланцюзі. Ця атака призвела до прибутку хакерів у розмірі 76 112 доларів.
Аналіз події
Зловмисники використовують функцію Термінові позики для отримання великої кількості коштів, маніпулюючи пропорціями токенів у ліквідних пулах для здійснення атаки. Процес атаки включає в себе наступні етапи:
Детальний опис процесу атаки
Процес міграції включає наступні етапи:
Оскільки в старому пулі практично немає токенів Old Cell, кількість отриманих рідних токенів під час видалення ліквідності збільшується, а кількість токенів Old Cell зменшується. Це призводить до того, що користувачам потрібно додати лише невелику кількість рідних токенів та токенів New Cell, щоб отримати ліквідність, а надлишкові рідні токени та токени Old Cell повертаються користувачам.
Атакуюча сторона потім видаляє ліквідність нового пулу та обмінює повернуті токени Old Cell на рідні токени. На цей момент у старому пулі є велика кількість токенів Old Cell, але немає рідних токенів, атакуюча сторона знову обмінює токени Old Cell на рідні токени, завершуючи отримання прибутку. Атакуюча сторона багаторазово повторює цю операцію, щоб отримати більше прибутку.
Підсумок та рекомендації
Ця атака виявила важливу вразливість при обробці міграції ліквідності. Для запобігання подібним атакам рекомендується вжити такі заходи:
Ця подія ще раз підкреслює важливість безпеки та надійності при проектуванні та впровадженні децентралізованих фінансових протоколів. Команда розробників повинна завжди бути насторожі та вжити багатошарових заходів для забезпечення безпеки коштів користувачів.