Cellframe Network подвергся атаке: уязвимость миграции ликвидности привела к потерям
1 июня 2023 года сеть Cellframe подверглась хакерской атаке на Binance Smart Chain, в результате чего был причинен ущерб примерно в 76 112 долларов США. Эта атака выявила проблему расчета количества токенов проекта в процессе миграции ликвидности.
Анализ процесса атаки
Хакеры провели тщательно спланированную атаку, используя флеш-кредиты и Ликвидность.
Сначала получите 1000 BNB и 500000 токенов New Cell через.flash-loan.
Обменять все токены New Cell на BNB, что приведет к тому, что количество BNB в ликвидном пуле приблизится к нулю.
Обменять 900 BNB на токены Old Cell.
Перед атакой хакеры добавили ликвидность Old Cell и BNB, получив Old lp.
Вызовите функцию миграции ликвидности. В этот момент в новом пуле почти нет BNB, в старом пуле почти нет токенов Old Cell.
В процессе миграции, из-за недостатка токенов Old Cell в старом пуле, при удалении ликвидности количество полученных BNB увеличивается, а количество Old Cell уменьшается.
Пользователю нужно всего лишь немного BNB и New Cell для получения Ликвидность, а избыточные BNB и Old Cell возвращаются пользователю.
Атакующий удаляет ликвидность нового пула и обменивает возвращённый Old Cell на BNB.
В этот момент в старом резервуаре Old Cell достаточно, но не хватает BNB, злоумышленник повторно обменивает Old Cell на BNB для получения прибыли.
Повторите операции миграции, чтобы извлечь дополнительную прибыль.
Источники атак и рекомендации по защите
Коренная причина этой атаки заключается в проблемах с расчетами в процессе миграции ликвидности. Чтобы предотвратить подобные атаки, команде проекта следует:
При миграции Ликвидности следует учитывать изменения в количестве токенов двух пулов (нового и старого) и текущую цену.
Избегайте прямого использования количества двух валют в торговой паре для расчетов, так как это легко поддается манипуляциям.
Провести полную безопасность аудита перед запуском кода, особенно уделяя внимание ключевым функциям, связанным с 流动性.
Создание системы мониторинга в реальном времени для своевременного выявления аномальных торговых моделей.
Рассмотрите возможность использования внешних источников данных, таких как ценовые оракулы, для получения более надежной информации о ценах.
Этот инцидент вновь подчеркивает важность безопасности DeFi-проектов при разработке и реализации сложных финансовых операций. С развитием экосистемы криптовалют, командам проектов необходимо быть более бдительными и внедрять более строгие меры безопасности для защиты активов пользователей.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
6
Поделиться
комментарий
0/400
ContractCollector
· 07-30 15:08
Еще одна уязвимость смарт-контрактов, ужасно.
Посмотреть ОригиналОтветить0
ShibaMillionairen't
· 07-30 04:55
Срочные займы ловушка
Посмотреть ОригиналОтветить0
GetRichLeek
· 07-30 04:54
Продолжай делать, даже если всё потеряешь.
Посмотреть ОригиналОтветить0
Blockwatcher9000
· 07-30 04:54
Еще одна флеш-атака займа
Посмотреть ОригиналОтветить0
SeasonedInvestor
· 07-30 04:41
Маленькие деньги - это не маленькое значение.
Посмотреть ОригиналОтветить0
MimiShrimpChips
· 07-30 04:32
Старые воспоминания, воспоминания уносят ветром, время прошло, мир изменился, а люди остались прежними.
Cellframe Network遭Хакер攻击 Ликвидность迁移漏洞致损76万美元
Cellframe Network подвергся атаке: уязвимость миграции ликвидности привела к потерям
1 июня 2023 года сеть Cellframe подверглась хакерской атаке на Binance Smart Chain, в результате чего был причинен ущерб примерно в 76 112 долларов США. Эта атака выявила проблему расчета количества токенов проекта в процессе миграции ликвидности.
Анализ процесса атаки
Хакеры провели тщательно спланированную атаку, используя флеш-кредиты и Ликвидность.
Сначала получите 1000 BNB и 500000 токенов New Cell через.flash-loan.
Обменять все токены New Cell на BNB, что приведет к тому, что количество BNB в ликвидном пуле приблизится к нулю.
Обменять 900 BNB на токены Old Cell.
Перед атакой хакеры добавили ликвидность Old Cell и BNB, получив Old lp.
Вызовите функцию миграции ликвидности. В этот момент в новом пуле почти нет BNB, в старом пуле почти нет токенов Old Cell.
В процессе миграции, из-за недостатка токенов Old Cell в старом пуле, при удалении ликвидности количество полученных BNB увеличивается, а количество Old Cell уменьшается.
Пользователю нужно всего лишь немного BNB и New Cell для получения Ликвидность, а избыточные BNB и Old Cell возвращаются пользователю.
Атакующий удаляет ликвидность нового пула и обменивает возвращённый Old Cell на BNB.
В этот момент в старом резервуаре Old Cell достаточно, но не хватает BNB, злоумышленник повторно обменивает Old Cell на BNB для получения прибыли.
Повторите операции миграции, чтобы извлечь дополнительную прибыль.
Источники атак и рекомендации по защите
Коренная причина этой атаки заключается в проблемах с расчетами в процессе миграции ликвидности. Чтобы предотвратить подобные атаки, команде проекта следует:
При миграции Ликвидности следует учитывать изменения в количестве токенов двух пулов (нового и старого) и текущую цену.
Избегайте прямого использования количества двух валют в торговой паре для расчетов, так как это легко поддается манипуляциям.
Провести полную безопасность аудита перед запуском кода, особенно уделяя внимание ключевым функциям, связанным с 流动性.
Создание системы мониторинга в реальном времени для своевременного выявления аномальных торговых моделей.
Рассмотрите возможность использования внешних источников данных, таких как ценовые оракулы, для получения более надежной информации о ценах.
Этот инцидент вновь подчеркивает важность безопасности DeFi-проектов при разработке и реализации сложных финансовых операций. С развитием экосистемы криптовалют, командам проектов необходимо быть более бдительными и внедрять более строгие меры безопасности для защиты активов пользователей.