Cellframe Network зазнав атаки: вразливість міграції ліквідності призвела до втрат
1 червня 2023 року Cellframe Network зазнав хакерської атаки на Binance Smart Chain, що призвело до втрат приблизно 76,112 доларів США. Ця атака виявила проблему з обчисленням кількості токенів під час процесу міграції ліквідності.
Аналіз процесу атаки
Хакери здійснили сплановану атаку, використовуючи блискавичні позики та Ліквідність.
Спочатку отримайте 1000 BNB та 500000 New Cell токенів через блискавичний кредит.
Обміняти всі токени New Cell на BNB, що призвело до зменшення кількості BNB у ліквідному пулі до майже нуля.
Обміняйте 900 BNB на токени Old Cell.
Перед атакою хакер додав ліквідність Old Cell та BNB, отримавши Old lp.
Викликати функцію міграції ліквідності. На цьому етапі новий пул майже не має BNB, старий пул майже не має токенів Old Cell.
Під час міграції, через відсутність токенів Old Cell у старому пулі, кількість BNB, отриманих при видаленні ліквідності, збільшується, а Old Cell зменшується.
Користувачеві потрібно лише невелика кількість BNB та New Cell, щоб отримати Ліквідність, а надлишок BNB та Old Cell повертається користувачеві.
Зловмисник видаляє ліквідність нового пулу та обмінює повернуту Old Cell на BNB.
У цей час у старому резервуарі Old Cell достатньо, але не вистачає BNB, зловмисник повторно обмінює Old Cell на BNB для отримання прибутку.
Повторіть операцію міграції, щоб додатково отримати прибуток.
Джерела атак та рекомендації по запобіганню
Ця атака була викликана проблемами з обчисленнями під час процесу міграції ліквідності. Щоб запобігти подібним атакам, проектна команда повинна:
Під час міграції ліквідності слід всебічно врахувати зміни кількості двох токенів у новому та старому пулі, а також поточну ціну.
Уникайте прямого використання кількостей двох монет у торговій парі для розрахунків, оскільки це легко може бути маніпульовано.
Провести всебічний аудит безпеки перед запуском коду, особливо звертаючи увагу на ключові функції, що стосуються Ліквідність.
Створення системи моніторингу в реальному часі для своєчасного виявлення аномальних торгових патернів.
Розгляньте можливість впровадження цінових оракулів та інших зовнішніх джерел даних для отримання більш надійної інформації про ціни.
Ця подія ще раз підкреслює важливість безпеки при проектуванні та реалізації складних фінансових операцій у DeFi-проектах. З розвитком екосистеми криптовалют команди проектів повинні бути більш обережними та вживати більш суворі заходи безпеки для захисту активів користувачів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
7
Поділіться
Прокоментувати
0/400
zkProofInThePudding
· 08-02 00:46
Ще один капітал обнулено.
Переглянути оригіналвідповісти на0
ContractCollector
· 07-30 15:08
Ще один смартконтрактний вразливість жахлива
Переглянути оригіналвідповісти на0
ShibaMillionairen't
· 07-30 04:55
Знову термінові позики пастка
Переглянути оригіналвідповісти на0
GetRichLeek
· 07-30 04:54
Продовжуйте працювати, навіть якщо втратили все.
Переглянути оригіналвідповісти на0
Blockwatcher9000
· 07-30 04:54
Ще одна флеш-атака
Переглянути оригіналвідповісти на0
SeasonedInvestor
· 07-30 04:41
Маленькі гроші не безглузді.
Переглянути оригіналвідповісти на0
MimiShrimpChips
· 07-30 04:32
Старі спогади, спогади з вітром, час минає, речі змінюються, люди змінюються.
Cellframe Network遭Хакер攻击 Ліквідність迁移漏洞致损76万美元
Cellframe Network зазнав атаки: вразливість міграції ліквідності призвела до втрат
1 червня 2023 року Cellframe Network зазнав хакерської атаки на Binance Smart Chain, що призвело до втрат приблизно 76,112 доларів США. Ця атака виявила проблему з обчисленням кількості токенів під час процесу міграції ліквідності.
Аналіз процесу атаки
Хакери здійснили сплановану атаку, використовуючи блискавичні позики та Ліквідність.
Спочатку отримайте 1000 BNB та 500000 New Cell токенів через блискавичний кредит.
Обміняти всі токени New Cell на BNB, що призвело до зменшення кількості BNB у ліквідному пулі до майже нуля.
Обміняйте 900 BNB на токени Old Cell.
Перед атакою хакер додав ліквідність Old Cell та BNB, отримавши Old lp.
Викликати функцію міграції ліквідності. На цьому етапі новий пул майже не має BNB, старий пул майже не має токенів Old Cell.
Під час міграції, через відсутність токенів Old Cell у старому пулі, кількість BNB, отриманих при видаленні ліквідності, збільшується, а Old Cell зменшується.
Користувачеві потрібно лише невелика кількість BNB та New Cell, щоб отримати Ліквідність, а надлишок BNB та Old Cell повертається користувачеві.
Зловмисник видаляє ліквідність нового пулу та обмінює повернуту Old Cell на BNB.
У цей час у старому резервуарі Old Cell достатньо, але не вистачає BNB, зловмисник повторно обмінює Old Cell на BNB для отримання прибутку.
Повторіть операцію міграції, щоб додатково отримати прибуток.
Джерела атак та рекомендації по запобіганню
Ця атака була викликана проблемами з обчисленнями під час процесу міграції ліквідності. Щоб запобігти подібним атакам, проектна команда повинна:
Під час міграції ліквідності слід всебічно врахувати зміни кількості двох токенів у новому та старому пулі, а також поточну ціну.
Уникайте прямого використання кількостей двох монет у торговій парі для розрахунків, оскільки це легко може бути маніпульовано.
Провести всебічний аудит безпеки перед запуском коду, особливо звертаючи увагу на ключові функції, що стосуються Ліквідність.
Створення системи моніторингу в реальному часі для своєчасного виявлення аномальних торгових патернів.
Розгляньте можливість впровадження цінових оракулів та інших зовнішніх джерел даних для отримання більш надійної інформації про ціни.
Ця подія ще раз підкреслює важливість безпеки при проектуванні та реалізації складних фінансових операцій у DeFi-проектах. З розвитком екосистеми криптовалют команди проектів повинні бути більш обережними та вживати більш суворі заходи безпеки для захисту активів користувачів.