Analyse de l'incident d'attaque par prêts flash de Cellframe Network

Le 1er juin 2023 à 10h07 et 55 secondes (UTC+8), le réseau Cellframe a été victime d'une attaque par un hacker sur une chaîne intelligente en raison d'un problème de calcul du nombre de jetons lors du processus de migration de liquidité. Cet événement a permis au hacker de réaliser un profit d'environ 76112 dollars.

Détails de l'attaque

1. Le hacker a d'abord obtenu 1000 jetons natifs d'une certaine chaîne et 500 000 jetons New Cell via un Prêt Flash.
2. Échanger tous les jetons New Cell contre des jetons natifs, ce qui entraîne une quantité de jetons natifs dans la réserve de trading proche de zéro.
3. Échanger 900 jetons natifs contre des jetons Old Cell.
4. Avant l'attaque, le hacker avait ajouté de la liquidité pour Old Cell et les tokens natifs, obtenant ainsi Old lp.
5. Ensuite, appelez la fonction de migration de liquidité. À ce stade, la nouvelle piscine a presque aucun jeton natif, l'ancienne piscine a presque aucun jeton Old Cell.

Le processus de migration comprend :

• Retirer la vieille liquidité et restituer les tokens correspondants aux utilisateurs.
• Ajouter de nouvelles liquidités en fonction du nouveau ratio de pool.

En raison de la rareté des jetons Old Cell dans l'ancienne piscine, la quantité de jetons natifs obtenus lors du retrait de liquidités augmente, tandis que les jetons Old Cell diminuent. Cela entraîne le fait que les utilisateurs n'ont besoin que d'une petite quantité de jetons natifs et de jetons New Cell pour obtenir de la liquidité, les jetons excédentaires étant retournés aux utilisateurs.

6. Les hackers retirent la liquidité de la nouvelle piscine et échangent les jetons Old Cell récupérés contre des jetons natifs.
7. À ce moment, il y a une grande quantité de tokens Old Cell dans l'ancienne réserve mais un manque de tokens natifs, l'attaquant échangera à nouveau les Old Cell contre des tokens natifs pour en tirer profit.
8. Répétez l'opération de migration pour augmenter les gains.

Conseils de sécurité

1. Lors de la migration de la liquidité, il convient de prendre en compte les variations de quantité des deux types de jetons dans les anciens et nouveaux pools ainsi que le prix actuel, afin d'éviter d'utiliser directement le nombre de jetons des paires de trading pour le calcul.
2. Il est crucial de procéder à un audit de sécurité complet avant le lancement.
3. Lors de la conception de contrats intelligents, il convient de prendre en compte des situations de marché extrêmes et d'ajouter des mécanismes de contrôle de sécurité.
4. Effectuer régulièrement des audits de code et des analyses de vulnérabilité, et corriger rapidement les risques potentiels.
5. Établir un mécanisme de réponse d'urgence pour traiter rapidement les éventuels incidents de sécurité.

Cet incident souligne à nouveau l'importance d'accorder une attention particulière à la sécurité lors de la conception et de la mise en œuvre des projets DeFi. Les équipes de projet doivent continuellement améliorer les mesures de sécurité pour protéger les actifs des utilisateurs et maintenir le développement sain de l'écosystème.