Analyse de l'incident d'attaque par prêts flash du réseau Cellframe
Le 1er juin 2023 à 10h07 et 55 secondes (UTC+8), Cellframe Network a été victime d'une attaque de hacker sur une chaîne intelligente en raison d'un problème de calcul du nombre de jetons lors du processus de migration de liquidité. Cette attaque a permis au hacker de réaliser un profit de 76 112 $.
Causes fondamentales de l'attaque
La cause fondamentale de l'attaque réside dans les problèmes de calcul lors du processus de migration de la liquidité.
Détails du processus d'attaque
L'attaquant commence par obtenir 1000 jetons natifs d'une certaine chaîne et 500 000 jetons New Cell via des Prêts Flash. Ensuite, il échange tous les jetons New Cell contre des jetons natifs, ce qui fait que le nombre de jetons natifs dans la piscine de liquidités est proche de zéro. Enfin, il échange 900 jetons natifs contre des jetons Old Cell.
Il est à noter que l'attaquant a d'abord ajouté de la liquidité pour Old Cell et le jeton natif avant de mener l'attaque, obtenant ainsi Old lp.
Ensuite, l'attaquant a appelé la fonction de migration de liquidité. À ce moment-là, il y avait presque aucun jeton natif dans le nouveau pool, et presque aucun jeton Old Cell dans l'ancien pool. Le processus de migration comprend les étapes suivantes :
Retirer la liquidité ancienne et renvoyer le nombre correspondant de jetons aux utilisateurs
Ajouter une nouvelle liquidité selon la proportion du nouveau pool
En raison de l'absence presque totale de tokens Old Cell dans l'ancienne réserve, le nombre de tokens natifs obtenus lors de la suppression de la liquidité augmente, tandis que le nombre de tokens Old Cell diminue. Cela conduit les utilisateurs à n'avoir besoin d'ajouter qu'une petite quantité de tokens natifs et de tokens New Cell pour obtenir de la liquidité, tandis que les tokens natifs excédentaires et les tokens Old Cell sont retournés aux utilisateurs.
Enfin, l'attaquant retire la liquidité du nouveau pool et échange les jetons Old Cell retournés lors de la migration contre des jetons natifs. À ce stade, il y a une grande quantité de jetons Old Cell dans l'ancien pool mais aucun jeton natif, l'attaquant échange alors les jetons Old Cell contre des jetons natifs, complétant ainsi son profit. Par la suite, l'attaquant répète l'opération de migration.
Conseils de sécurité
Lors de la migration de la liquidité, il convient de prendre en compte les variations des quantités des deux types de tokens dans les anciens et nouveaux pools, ainsi que les prix actuels des tokens, afin d'éviter de se fier uniquement aux quantités des deux tokens dans la paire de trading, pour prévenir toute manipulation.
Avant le déploiement du code, il est impératif de procéder à un audit de sécurité complet afin de réduire les risques potentiels.
Cet événement nous rappelle une fois de plus qu'il est essentiel d'être particulièrement prudent lors de la gestion d'opérations financières complexes, en particulier celles impliquant des échanges de tokens et la gestion de la liquidité, et de prendre des mesures de sécurité multiples. En même temps, il souligne l'importance de réaliser un audit de sécurité complet des contrats intelligents.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
17 J'aime
Récompense
17
7
Reposter
Partager
Commentaire
0/400
TestnetScholar
· 07-26 07:37
Il est déjà juin et il y a encore ce genre de faille ?
Voir l'originalRépondre0
MimiShrimpChips
· 07-25 15:29
Les mêmes vieilles histoires ont été répétées pendant plus de deux ans, quelques dizaines de milliers de dollars ne comptent pas pour le market maker.
Voir l'originalRépondre0
ContractSurrender
· 07-24 02:02
Encore un hacker qui a flashé, c'est vraiment sans intérêt.
Voir l'originalRépondre0
BugBountyHunter
· 07-24 01:57
Un autre gros poisson a mordu à l'hameçon.
Voir l'originalRépondre0
wrekt_but_learning
· 07-24 01:49
Encore bien tondue, c'est juste cette somme d'argent.
Cellframe Network a subi une attaque de prêts flash, le hacker a réalisé un bénéfice de 76 000 dollars.
Analyse de l'incident d'attaque par prêts flash du réseau Cellframe
Le 1er juin 2023 à 10h07 et 55 secondes (UTC+8), Cellframe Network a été victime d'une attaque de hacker sur une chaîne intelligente en raison d'un problème de calcul du nombre de jetons lors du processus de migration de liquidité. Cette attaque a permis au hacker de réaliser un profit de 76 112 $.
Causes fondamentales de l'attaque
La cause fondamentale de l'attaque réside dans les problèmes de calcul lors du processus de migration de la liquidité.
Détails du processus d'attaque
Ensuite, l'attaquant a appelé la fonction de migration de liquidité. À ce moment-là, il y avait presque aucun jeton natif dans le nouveau pool, et presque aucun jeton Old Cell dans l'ancien pool. Le processus de migration comprend les étapes suivantes :
En raison de l'absence presque totale de tokens Old Cell dans l'ancienne réserve, le nombre de tokens natifs obtenus lors de la suppression de la liquidité augmente, tandis que le nombre de tokens Old Cell diminue. Cela conduit les utilisateurs à n'avoir besoin d'ajouter qu'une petite quantité de tokens natifs et de tokens New Cell pour obtenir de la liquidité, tandis que les tokens natifs excédentaires et les tokens Old Cell sont retournés aux utilisateurs.
Conseils de sécurité
Lors de la migration de la liquidité, il convient de prendre en compte les variations des quantités des deux types de tokens dans les anciens et nouveaux pools, ainsi que les prix actuels des tokens, afin d'éviter de se fier uniquement aux quantités des deux tokens dans la paire de trading, pour prévenir toute manipulation.
Avant le déploiement du code, il est impératif de procéder à un audit de sécurité complet afin de réduire les risques potentiels.
Cet événement nous rappelle une fois de plus qu'il est essentiel d'être particulièrement prudent lors de la gestion d'opérations financières complexes, en particulier celles impliquant des échanges de tokens et la gestion de la liquidité, et de prendre des mesures de sécurité multiples. En même temps, il souligne l'importance de réaliser un audit de sécurité complet des contrats intelligents.