# Cellframe Network Attack: Liquidity Migration の脆弱性が損失を招く2023年6月1日、Cellframe Networkはバイナンススマートチェーン上でハッキング攻撃を受け、約76,112ドルの損失を被りました。この攻撃は、流動性移転プロセスにおけるトークン数の計算問題をプロジェクトにさらしました。## 攻撃プロセス分析ハッカーはフラッシュローンと流動性操縦を利用して巧妙に計画された攻撃を行いました:1. まず、フラッシュローンを通じて1000個のBNBと50万個のNew Cellトークンを取得します。2. すべてのNew CellトークンをBNBに交換すると、流動性プール内のBNBの数がほぼゼロに近づく。3. 900個のBNBでOld Cellトークンを交換します。4. 攻撃の前に、ハッカーはOld CellとBNBの流動性を追加し、Old lpを獲得しました。5. 流動性移転関数を呼び出します。この時、新しいプールにはほとんどBNBがなく、古いプールにはほとんどOld Cellトークンがありません。6. 移行プロセス中、古いプールがOld Cellトークンを欠いているため、流動性を削除する際に得られるBNBが増加し、Old Cellが減少します。7. ユーザーは少量のBNBとNew Cellを持っていれば流動性を取得でき、余分なBNBとOld Cellはユーザーに返還されます。8. 攻撃者が新しいプールの流動性を削除し、返還されたOld CellをBNBに交換します。9. この時、Old Cellは十分にありますが、BNBが不足しています。攻撃者はOld CellをBNBに再交換して利益を得ます。10. 移動操作を繰り返し、さらに利益を掴む。! [Web3セキュリティ|.] プール比率のフラッシュローン操作によるセルフレームネットワーク攻撃事件の解析](https://img-cdn.gateio.im/social/moments-6c9507885f4ac7353632bd9445fac0bd)! [Web3セキュリティ|.] プール比率の操作によるフラッシュローンに対するセルフレームネットワーク攻撃の分析](https://img-cdn.gateio.im/social/moments-5a5c4537315796a60ae82412408601a1)! [Web3セキュリティ|.] プール比率のフラッシュローン操作によるCellframeネットワークへの攻撃の分析](https://img-cdn.gateio.im/social/moments-12b37a73f151641fe15ccb0b2103e26b)! [Web3セキュリティ|.] プール比率のフラッシュローン操作に対するセルフレームネットワーク攻撃の分析](https://img-cdn.gateio.im/social/moments-d95e38131d2cd07cf66d7cda1a719b1a)## 攻撃の根本原因と防止策の推奨事項今回の攻撃の根本的な原因は流動性移転プロセスにおける計算問題にあります。同様の攻撃を防ぐために、プロジェクト側は次のことを行うべきです:1. 移動性を移行する際には、新旧プールの二種類のトークンの数量の変化と現在の価格を総合的に考慮してください。2. 取引ペアの2つの通貨の数量を直接使用して計算することは避けてください。これは操作されやすいためです。3. コードの本番環境への展開前に、特に資金の流動に関わる重要な機能に焦点を当てて、包括的なセキュリティ監査を実施します。4. リアルタイム監視システムを構築し、異常な取引パターンを迅速に発見する。5. より信頼性の高い価格情報を得るために、価格オラクルなどの外部データソースの導入を検討してください。! [Web3セキュリティ|.] フラッシュローン操作プール比率に対するセルフレームネットワーク攻撃の分析](https://img-cdn.gateio.im/social/moments-d2404f8ad69c17b96bf7b87a315a029a)! [Web3セキュリティ|.] プール比率のフラッシュローン操作の影響を受けたセルフレームネットワーク攻撃の分析](https://img-cdn.gateio.im/social/moments-3734f1a6b3a2793edf1eac051b0d90dd)この事件は、DeFiプロジェクトが複雑な金融操作を設計および実施する際の安全性の重要性を再度強調しています。暗号通貨エコシステムが進化する中で、プロジェクトチームはより警戒し、ユーザー資産を保護するためにより厳格な安全対策を講じる必要があります。
Cellframe Networkがハッキングされ、流動性移行の脆弱性により760,000ドルの損害が発生しました
Cellframe Network Attack: Liquidity Migration の脆弱性が損失を招く
2023年6月1日、Cellframe Networkはバイナンススマートチェーン上でハッキング攻撃を受け、約76,112ドルの損失を被りました。この攻撃は、流動性移転プロセスにおけるトークン数の計算問題をプロジェクトにさらしました。
攻撃プロセス分析
ハッカーはフラッシュローンと流動性操縦を利用して巧妙に計画された攻撃を行いました:
まず、フラッシュローンを通じて1000個のBNBと50万個のNew Cellトークンを取得します。
すべてのNew CellトークンをBNBに交換すると、流動性プール内のBNBの数がほぼゼロに近づく。
900個のBNBでOld Cellトークンを交換します。
攻撃の前に、ハッカーはOld CellとBNBの流動性を追加し、Old lpを獲得しました。
流動性移転関数を呼び出します。この時、新しいプールにはほとんどBNBがなく、古いプールにはほとんどOld Cellトークンがありません。
移行プロセス中、古いプールがOld Cellトークンを欠いているため、流動性を削除する際に得られるBNBが増加し、Old Cellが減少します。
ユーザーは少量のBNBとNew Cellを持っていれば流動性を取得でき、余分なBNBとOld Cellはユーザーに返還されます。
攻撃者が新しいプールの流動性を削除し、返還されたOld CellをBNBに交換します。
この時、Old Cellは十分にありますが、BNBが不足しています。攻撃者はOld CellをBNBに再交換して利益を得ます。
移動操作を繰り返し、さらに利益を掴む。
! [Web3セキュリティ|.] プール比率のフラッシュローン操作によるセルフレームネットワーク攻撃事件の解析](https://img-cdn.gateio.im/webp-social/moments-6c9507885f4ac7353632bd9445fac0bd.webp)
! [Web3セキュリティ|.] プール比率の操作によるフラッシュローンに対するセルフレームネットワーク攻撃の分析](https://img-cdn.gateio.im/webp-social/moments-5a5c4537315796a60ae82412408601a1.webp)
! [Web3セキュリティ|.] プール比率のフラッシュローン操作によるCellframeネットワークへの攻撃の分析](https://img-cdn.gateio.im/webp-social/moments-12b37a73f151641fe15ccb0b2103e26b.webp)
! [Web3セキュリティ|.] プール比率のフラッシュローン操作に対するセルフレームネットワーク攻撃の分析](https://img-cdn.gateio.im/webp-social/moments-d95e38131d2cd07cf66d7cda1a719b1a.webp)
攻撃の根本原因と防止策の推奨事項
今回の攻撃の根本的な原因は流動性移転プロセスにおける計算問題にあります。同様の攻撃を防ぐために、プロジェクト側は次のことを行うべきです:
移動性を移行する際には、新旧プールの二種類のトークンの数量の変化と現在の価格を総合的に考慮してください。
取引ペアの2つの通貨の数量を直接使用して計算することは避けてください。これは操作されやすいためです。
コードの本番環境への展開前に、特に資金の流動に関わる重要な機能に焦点を当てて、包括的なセキュリティ監査を実施します。
リアルタイム監視システムを構築し、異常な取引パターンを迅速に発見する。
より信頼性の高い価格情報を得るために、価格オラクルなどの外部データソースの導入を検討してください。
! [Web3セキュリティ|.] フラッシュローン操作プール比率に対するセルフレームネットワーク攻撃の分析](https://img-cdn.gateio.im/webp-social/moments-d2404f8ad69c17b96bf7b87a315a029a.webp)
! [Web3セキュリティ|.] プール比率のフラッシュローン操作の影響を受けたセルフレームネットワーク攻撃の分析](https://img-cdn.gateio.im/webp-social/moments-3734f1a6b3a2793edf1eac051b0d90dd.webp)
この事件は、DeFiプロジェクトが複雑な金融操作を設計および実施する際の安全性の重要性を再度強調しています。暗号通貨エコシステムが進化する中で、プロジェクトチームはより警戒し、ユーザー資産を保護するためにより厳格な安全対策を講じる必要があります。