Análisis del incidente de ataque de flash loan en Cellframe Network
El 1 de junio de 2023 a las 10:07:55 (UTC+8), Cellframe Network fue atacado por hackers en una cadena inteligente debido a un problema en el cálculo de la cantidad de tokens durante el proceso de migración de liquidez. Este ataque resultó en una ganancia de 76,112 dólares para los hackers.
Causa raíz del ataque
La causa fundamental del ataque radica en un problema de cálculo durante el proceso de migración de liquidez.
Detalles del flujo de ataque
El atacante primero obtiene 1000 tokens nativos de cierta cadena y 500,000 tokens New Cell a través de Flash Loans. Luego, intercambia todos los tokens New Cell por tokens nativos, lo que provoca que la cantidad de tokens nativos en el pool de liquidez se acerque a cero. Finalmente, intercambia 900 tokens nativos por tokens Old Cell.
Cabe destacar que, antes de llevar a cabo el ataque, el atacante agregó liquidez de Old Cell y tokens nativos, obteniendo Old lp.
A continuación, el atacante llamó a la función de migración de liquidez. En este momento, el nuevo grupo tenía casi ningún token nativo, mientras que el antiguo grupo tenía casi ningún token Old Cell. El proceso de migración incluye los siguientes pasos:
Eliminar la liquidez antigua y devolver la cantidad correspondiente de tokens a los usuarios
Agregar nueva liquidez según la proporción de la nueva piscina
Debido a que casi no hay tokens Old Cell en la antigua piscina, la cantidad de tokens nativos obtenidos al retirar liquidez aumenta, mientras que la cantidad de tokens Old Cell disminuye. Esto lleva a que los usuarios solo necesiten agregar una pequeña cantidad de tokens nativos y tokens New Cell para obtener liquidez, mientras que los tokens nativos y los tokens Old Cell sobrantes se devuelven a los usuarios.
Por último, el atacante retira la liquidez del nuevo grupo y canjea los tokens Old Cell devueltos por tokens nativos. En este momento, hay una gran cantidad de tokens Old Cell en el grupo antiguo pero sin tokens nativos, el atacante vuelve a canjear los tokens Old Cell por tokens nativos, completando así la obtención de ganancias. Luego, el atacante repite la operación de migración.
Sugerencias de seguridad
Al migrar la liquidez, se debe considerar de manera integral el cambio en la cantidad de los dos tokens en los nuevos y viejos pools, así como el precio actual de los tokens, para evitar depender únicamente del cálculo de la cantidad de los dos tokens en el par de negociación, con el fin de prevenir manipulaciones.
Antes de implementar el código, es imprescindible realizar una auditoría de seguridad completa para reducir los riesgos potenciales.
Este incidente nos recuerda nuevamente que, al manejar operaciones financieras complejas, especialmente aquellas que involucran el intercambio de tokens y la gestión de liquidez, se debe tener especial cuidado y adoptar múltiples medidas de seguridad. Al mismo tiempo, también destaca la importancia de realizar auditorías de seguridad exhaustivas en los contratos inteligentes.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
17 me gusta
Recompensa
17
7
Republicar
Compartir
Comentar
0/400
TestnetScholar
· 07-26 07:37
¿Ya es junio y todavía hay este tipo de vulnerabilidades?
Ver originalesResponder0
MimiShrimpChips
· 07-25 15:29
Los mismos viejos temas han sido repetidos durante más de dos años, decenas de miles de yuanes no son nada para el creador de mercado.
Ver originalesResponder0
ContractSurrender
· 07-24 02:02
Otra vez los hackers se escaparon, no tiene sentido.
Ver originalesResponder0
BugBountyHunter
· 07-24 01:57
Otra gran captura ha picado.
Ver originalesResponder0
wrekt_but_learning
· 07-24 01:49
De nuevo siendo esquilmado, supongo que es solo este poco dinero.
Cellframe Network sufrió un ataque de flash loan, el hacker obtuvo 76,000 dólares.
Análisis del incidente de ataque de flash loan en Cellframe Network
El 1 de junio de 2023 a las 10:07:55 (UTC+8), Cellframe Network fue atacado por hackers en una cadena inteligente debido a un problema en el cálculo de la cantidad de tokens durante el proceso de migración de liquidez. Este ataque resultó en una ganancia de 76,112 dólares para los hackers.
Causa raíz del ataque
La causa fundamental del ataque radica en un problema de cálculo durante el proceso de migración de liquidez.
Detalles del flujo de ataque
A continuación, el atacante llamó a la función de migración de liquidez. En este momento, el nuevo grupo tenía casi ningún token nativo, mientras que el antiguo grupo tenía casi ningún token Old Cell. El proceso de migración incluye los siguientes pasos:
Debido a que casi no hay tokens Old Cell en la antigua piscina, la cantidad de tokens nativos obtenidos al retirar liquidez aumenta, mientras que la cantidad de tokens Old Cell disminuye. Esto lleva a que los usuarios solo necesiten agregar una pequeña cantidad de tokens nativos y tokens New Cell para obtener liquidez, mientras que los tokens nativos y los tokens Old Cell sobrantes se devuelven a los usuarios.
Sugerencias de seguridad
Al migrar la liquidez, se debe considerar de manera integral el cambio en la cantidad de los dos tokens en los nuevos y viejos pools, así como el precio actual de los tokens, para evitar depender únicamente del cálculo de la cantidad de los dos tokens en el par de negociación, con el fin de prevenir manipulaciones.
Antes de implementar el código, es imprescindible realizar una auditoría de seguridad completa para reducir los riesgos potenciales.
Este incidente nos recuerda nuevamente que, al manejar operaciones financieras complejas, especialmente aquellas que involucran el intercambio de tokens y la gestión de liquidez, se debe tener especial cuidado y adoptar múltiples medidas de seguridad. Al mismo tiempo, también destaca la importancia de realizar auditorías de seguridad exhaustivas en los contratos inteligentes.