Análise do incidente de ataque de empréstimo flash da Cellframe Network
No dia 1 de junho de 2023, às 10:07:55 (UTC+8), a Cellframe Network foi alvo de um ataque de hackers devido a um problema na contagem da quantidade de tokens durante o processo de migração de liquidez em uma certa blockchain. Este ataque resultou em um lucro de 76.112 dólares para os hackers.
Causa Raiz do Ataque
A causa fundamental do ataque reside em problemas de cálculo durante o processo de migração de liquidez.
Detalhes do fluxo de ataque
O atacante primeiro obtém 1000 tokens nativos de uma determinada cadeia e 500000 tokens New Cell através de um Empréstimo Flash. Em seguida, troca todos os tokens New Cell por tokens nativos, fazendo com que a quantidade de tokens nativos no pool de liquidez fique perto de zero. Por fim, troca 900 tokens nativos por tokens Old Cell.
É importante notar que, antes de realizar o ataque, os atacantes adicionaram liquidez ao Old Cell e ao token nativo, obtendo o Old lp.
Em seguida, o atacante chamou a função de migração de liquidez. Neste momento, quase não havia tokens nativos no novo pool, enquanto o pool antigo quase não tinha tokens Old Cell. O processo de migração inclui os seguintes passos:
Remover a liquidez antiga e devolver a quantidade correspondente de tokens aos usuários
Adicionar nova liquidez de acordo com a proporção do novo pool
Devido à quase inexistência de tokens Old Cell na antiga piscina, a quantidade de tokens nativos obtidos ao remover a liquidez aumenta, enquanto a quantidade de tokens Old Cell diminui. Isso leva os usuários a precisarem adicionar apenas uma pequena quantidade de tokens nativos e tokens New Cell para obter liquidez, enquanto os tokens nativos e tokens Old Cell em excesso são devolvidos aos usuários.
Por fim, o atacante remove a liquidez do novo pool e troca os tokens Old Cell retornados pela moeda nativa. Neste momento, há uma grande quantidade de tokens Old Cell no pool antigo, mas nenhuma moeda nativa. O atacante troca os tokens Old Cell de volta pela moeda nativa, completando assim o lucro. Em seguida, o atacante repete a operação de migração.
Sugestões de Segurança
Ao migrar liquidez, deve-se considerar completamente a mudança nas quantidades das duas tokens nos antigos e novos pools, bem como os preços atuais das tokens, evitando depender apenas das quantidades das duas tokens no par de negociação para prevenir manipulação.
Antes de colocar o código em produção, é imprescindível realizar uma auditoria de segurança abrangente para reduzir riscos potenciais.
Este incidente lembra-nos novamente que, ao lidar com operações financeiras complexas, especialmente as que envolvem troca de tokens e gestão de liquidez, é necessário ter um cuidado especial e adotar múltiplas medidas de segurança. Ao mesmo tempo, também destaca a importância de realizar auditorias de segurança abrangentes em contratos inteligentes.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
17 Curtidas
Recompensa
17
7
Repostar
Compartilhar
Comentário
0/400
TestnetScholar
· 07-26 07:37
Já estamos em junho e ainda há esse tipo de falha?
Ver originalResponder0
MimiShrimpChips
· 07-25 15:29
Os mesmos velhos discursos têm sido repetidos nos últimos dois anos, dezenas de milhares de yuan não significam nada para o criador de mercado.
Ver originalResponder0
ContractSurrender
· 07-24 02:02
Outra vez os hackers apareceram, não tem graça nenhuma.
Ver originalResponder0
BugBountyHunter
· 07-24 01:57
Outra grande peixe caiu na armadilha.
Ver originalResponder0
wrekt_but_learning
· 07-24 01:49
Mais uma vez sendo explorado, deve ser apenas esse dinheiro.
Cellframe Network sofreu um ataque de empréstimo flash, hacker lucrou 76 mil dólares.
Análise do incidente de ataque de empréstimo flash da Cellframe Network
No dia 1 de junho de 2023, às 10:07:55 (UTC+8), a Cellframe Network foi alvo de um ataque de hackers devido a um problema na contagem da quantidade de tokens durante o processo de migração de liquidez em uma certa blockchain. Este ataque resultou em um lucro de 76.112 dólares para os hackers.
Causa Raiz do Ataque
A causa fundamental do ataque reside em problemas de cálculo durante o processo de migração de liquidez.
Detalhes do fluxo de ataque
Em seguida, o atacante chamou a função de migração de liquidez. Neste momento, quase não havia tokens nativos no novo pool, enquanto o pool antigo quase não tinha tokens Old Cell. O processo de migração inclui os seguintes passos:
Devido à quase inexistência de tokens Old Cell na antiga piscina, a quantidade de tokens nativos obtidos ao remover a liquidez aumenta, enquanto a quantidade de tokens Old Cell diminui. Isso leva os usuários a precisarem adicionar apenas uma pequena quantidade de tokens nativos e tokens New Cell para obter liquidez, enquanto os tokens nativos e tokens Old Cell em excesso são devolvidos aos usuários.
Sugestões de Segurança
Ao migrar liquidez, deve-se considerar completamente a mudança nas quantidades das duas tokens nos antigos e novos pools, bem como os preços atuais das tokens, evitando depender apenas das quantidades das duas tokens no par de negociação para prevenir manipulação.
Antes de colocar o código em produção, é imprescindível realizar uma auditoria de segurança abrangente para reduzir riscos potenciais.
Este incidente lembra-nos novamente que, ao lidar com operações financeiras complexas, especialmente as que envolvem troca de tokens e gestão de liquidez, é necessário ter um cuidado especial e adotar múltiplas medidas de segurança. Ao mesmo tempo, também destaca a importância de realizar auditorias de segurança abrangentes em contratos inteligentes.