Cellframe Network a subi une attaque : une vulnérabilité de migration de liquidité a entraîné des pertes
Le 1er juin 2023, Cellframe Network a subi une attaque de hacker sur la Binance Smart Chain, entraînant une perte d'environ 76 112 $. Cette attaque a révélé un problème de calcul du nombre de jetons lors du processus de migration de la Liquidité.
Analyse du processus d'attaque
Des hackers ont mené une attaque soigneusement orchestrée en utilisant des prêts flash et de la liquidité manipulée :
Tout d'abord, obtenez 1000 BNB et 500 000 New Cell tokens via un prêt éclair.
Échanger tous les jetons New Cell contre des BNB, ce qui entraîne une quantité de BNB dans le pool de liquidité proche de zéro.
Échangez 900 BNB contre des jetons Old Cell.
Avant l'attaque, le hacker a ajouté de la liquidité à Old Cell et BNB, obtenant Old lp.
Appeler la fonction de migration de liquidité. À ce stade, la nouvelle piscine a presque pas de BNB, et l'ancienne piscine a presque pas de jetons Old Cell.
Pendant le processus de migration, en raison du manque de tokens Old Cell dans l'ancien pool, l'augmentation des BNB obtenus lors de la suppression de la Liquidité entraîne une diminution des Old Cell.
L'utilisateur n'a besoin que d'un petit montant de BNB et de New Cell pour obtenir de la Liquidité, et le surplus de BNB et d'Old Cell est retourné à l'utilisateur.
L'attaquant retire la liquidité du nouveau pool et échange l'Old Cell retourné contre des BNB.
À ce moment-là, l'Old Cell dans le vieux réservoir est suffisant mais manque de BNB, l'attaquant va reconvertir l'Old Cell en BNB pour réaliser un profit.
Répéter l'opération de migration pour capter davantage de profits.
Origine des attaques et recommandations de prévention
La cause fondamentale de cette attaque réside dans un problème de calcul lors du processus de migration de la Liquidité. Pour prévenir des attaques similaires, l'équipe du projet devrait :
Lors de la migration de la Liquidité, il est important de prendre en compte les variations des quantités des deux types de tokens dans les anciens et nouveaux pools ainsi que le prix actuel.
Évitez d'utiliser directement les quantités des deux monnaies dans la paire de trading pour effectuer des calculs, car cela peut facilement être manipulé.
Effectuer un audit de sécurité complet avant le déploiement du code, en accordant une attention particulière aux fonctionnalités clés impliquant des flux de fonds.
Établir un système de surveillance en temps réel pour détecter rapidement les modèles de transactions anormaux.
Envisagez d'introduire des oracles de prix et d'autres sources de données externes pour obtenir des informations sur les prix plus fiables.
Cet incident souligne à nouveau l'importance de la sécurité dans la conception et la mise en œuvre d'opérations financières complexes pour les projets DeFi. Avec l'évolution constante de l'écosystème des cryptomonnaies, les équipes de projet doivent être plus vigilantes et adopter des mesures de sécurité plus strictes pour protéger les actifs des utilisateurs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
7
Partager
Commentaire
0/400
zkProofInThePudding
· 08-02 00:46
Un autre fonds a été liquidé.
Voir l'originalRépondre0
ContractCollector
· 07-30 15:08
Encore une vulnérabilité des smart contracts, c'est terrible.
Voir l'originalRépondre0
ShibaMillionairen't
· 07-30 04:55
Encore un piège de Prêts Flash
Voir l'originalRépondre0
GetRichLeek
· 07-30 04:54
Continue à travailler même après avoir perdu.
Voir l'originalRépondre0
Blockwatcher9000
· 07-30 04:54
Encore une attaque de prêt flash
Voir l'originalRépondre0
SeasonedInvestor
· 07-30 04:41
Un petit montant, ce n'est pas une petite affaire.
Voir l'originalRépondre0
MimiShrimpChips
· 07-30 04:32
Les souvenirs d'antan, les souvenirs s'envolent, le temps passe, les choses changent et les gens aussi.
Cellframe Network a été attaqué par des Hacker, une vulnérabilité de migration de Liquidité a causé une perte de 760 000 $.
Cellframe Network a subi une attaque : une vulnérabilité de migration de liquidité a entraîné des pertes
Le 1er juin 2023, Cellframe Network a subi une attaque de hacker sur la Binance Smart Chain, entraînant une perte d'environ 76 112 $. Cette attaque a révélé un problème de calcul du nombre de jetons lors du processus de migration de la Liquidité.
Analyse du processus d'attaque
Des hackers ont mené une attaque soigneusement orchestrée en utilisant des prêts flash et de la liquidité manipulée :
Tout d'abord, obtenez 1000 BNB et 500 000 New Cell tokens via un prêt éclair.
Échanger tous les jetons New Cell contre des BNB, ce qui entraîne une quantité de BNB dans le pool de liquidité proche de zéro.
Échangez 900 BNB contre des jetons Old Cell.
Avant l'attaque, le hacker a ajouté de la liquidité à Old Cell et BNB, obtenant Old lp.
Appeler la fonction de migration de liquidité. À ce stade, la nouvelle piscine a presque pas de BNB, et l'ancienne piscine a presque pas de jetons Old Cell.
Pendant le processus de migration, en raison du manque de tokens Old Cell dans l'ancien pool, l'augmentation des BNB obtenus lors de la suppression de la Liquidité entraîne une diminution des Old Cell.
L'utilisateur n'a besoin que d'un petit montant de BNB et de New Cell pour obtenir de la Liquidité, et le surplus de BNB et d'Old Cell est retourné à l'utilisateur.
L'attaquant retire la liquidité du nouveau pool et échange l'Old Cell retourné contre des BNB.
À ce moment-là, l'Old Cell dans le vieux réservoir est suffisant mais manque de BNB, l'attaquant va reconvertir l'Old Cell en BNB pour réaliser un profit.
Répéter l'opération de migration pour capter davantage de profits.
Origine des attaques et recommandations de prévention
La cause fondamentale de cette attaque réside dans un problème de calcul lors du processus de migration de la Liquidité. Pour prévenir des attaques similaires, l'équipe du projet devrait :
Lors de la migration de la Liquidité, il est important de prendre en compte les variations des quantités des deux types de tokens dans les anciens et nouveaux pools ainsi que le prix actuel.
Évitez d'utiliser directement les quantités des deux monnaies dans la paire de trading pour effectuer des calculs, car cela peut facilement être manipulé.
Effectuer un audit de sécurité complet avant le déploiement du code, en accordant une attention particulière aux fonctionnalités clés impliquant des flux de fonds.
Établir un système de surveillance en temps réel pour détecter rapidement les modèles de transactions anormaux.
Envisagez d'introduire des oracles de prix et d'autres sources de données externes pour obtenir des informations sur les prix plus fiables.
Cet incident souligne à nouveau l'importance de la sécurité dans la conception et la mise en œuvre d'opérations financières complexes pour les projets DeFi. Avec l'évolution constante de l'écosystème des cryptomonnaies, les équipes de projet doivent être plus vigilantes et adopter des mesures de sécurité plus strictes pour protéger les actifs des utilisateurs.