Análise do incidente de ataque de empréstimo flash na Cellframe Network

No dia 1 de junho de 2023, às 10:07:55 (UTC+8), a Cellframe Network foi alvo de um ataque de hackers em uma determinada cadeia inteligente devido a um problema no cálculo da quantidade de tokens durante o processo de migração de liquidez. Este incidente resultou em um lucro de aproximadamente 76.112 dólares para os hackers.

Detalhes do processo de ataque

1. O hacker primeiro obtém 1000 tokens nativos de uma determinada cadeia e 500000 tokens New Cell através de Empréstimos Flash.
2. Trocar todos os tokens New Cell por tokens nativos, fazendo com que a quantidade de tokens nativos na pool de negociação fique próxima de zero.
3. Usar 900 tokens nativos para trocar por tokens Old Cell.
4. Antes do ataque, o hacker já tinha adicionado liquidez de Old Cell e do token nativo, obtendo Old lp.
5. Em seguida, chame a função de migração de liquidez. Neste momento, o novo pool possui quase nenhum token nativo, e o pool antigo possui quase nenhum token Old Cell.

O processo de migração inclui:

• Remover a liquidez antiga e devolver os tokens correspondentes aos usuários.
• Adicionar nova liquidez de acordo com a nova proporção da piscina.

Devido à escassez de tokens Old Cell no pool antigo, aumenta a quantidade de tokens nativos obtidos ao remover a liquidez, enquanto os tokens Old Cell diminuem. Isso leva a que os usuários precisem de apenas uma pequena quantidade de tokens nativos e tokens New Cell para adquirir liquidez, com os tokens em excesso devolvidos aos usuários.

6. Hackers removem a liquidez do novo pool e trocam os tokens Old Cell retornados por tokens nativos.
7. Neste momento, há uma grande quantidade de tokens Old Cell no pool antigo, mas falta o token nativo, o atacante troca novamente os Old Cell por tokens nativos para lucrar.
8. Repita a operação de migração para aumentar os ganhos.

Sugestões de Segurança

1. Ao migrar a liquidez, deve-se considerar plenamente a variação na quantidade de tokens dos dois pools, antigo e novo, bem como o preço atual, evitando usar diretamente a quantidade de tokens do par de negociação para o cálculo.
2. É crucial realizar uma auditoria de segurança abrangente antes do lançamento.
3. Ao projetar contratos inteligentes, deve-se considerar situações de mercado extremas e aumentar os mecanismos de verificação de segurança.
4. Realizar regularmente auditorias de código e varreduras de vulnerabilidades, corrigindo rapidamente riscos potenciais.
5. Estabelecer um mecanismo de resposta a emergências para tratar rapidamente possíveis eventos de segurança.

Este incidente enfatiza novamente a necessidade de uma elevada atenção à segurança no design e implementação de projetos DeFi. As equipes de projeto devem constantemente melhorar as medidas de segurança para proteger os ativos dos usuários e manter o desenvolvimento saudável do ecossistema.