Cellframe Network flaş kredi̇ saldirisi olay analizi
2023年6月1日10时7分55秒(UTC+8),Cellframe Network某 akıllı zincir üzerinde likidite göçü sürecindeki token sayımı sorunundan dolayı bir saldırıya uğradı. Bu saldırı sonucunda hacker 76,112 dolar kazandı.
Saldırının Temel Nedeni
Saldırının temel nedeni, likidite göçü sürecindeki hesaplama sorunudur.
Saldırı Süreci Detayı
Saldırgan önce Flaş Krediler aracılığıyla 1000 adet belirli bir zincir yerel token'i ve 500,000 adet New Cell token'i elde eder. Ardından, tüm New Cell token'lerini yerel token'e çevirerek likidite havuzundaki yerel token miktarını sıfıra yaklaştırır. Son olarak, 900 adet yerel token ile Old Cell token'ine dönüşüm yapar.
Dikkat edilmesi gereken bir nokta, saldırganların saldırıyı gerçekleştirmeden önce Old Cell ve yerel tokenin likiditesini ekleyerek Old lp'yi elde ettikleridir.
Sonrasında, saldırgan likidite göç fonksiyonunu çağırdı. Bu aşamada, yeni havuzda neredeyse hiç yerel token yokken, eski havuzda neredeyse hiç Old Cell tokeni yoktu. Göç süreci aşağıdaki adımları içerir:
Eski likiditeyi kaldırın ve ilgili miktarda tokeni kullanıcılara iade edin
Yeni havuzun oranına göre yeni likidite ekleyin
Eski havuzda neredeyse hiç Old Cell token'i bulunmadığı için, likiditeyi kaldırırken elde edilen yerel token sayısı artarken, Old Cell token sayısı azalır. Bu, kullanıcıların yalnızca az miktarda yerel token ve New Cell token ekleyerek likidite elde etmelerini sağlar; fazla yerel token ve Old Cell token'ler kullanıcıya iade edilir.
Son olarak, saldırgan yeni havuzun likiditesini kaldırır ve göç edilen Old Cell token'larını yerel token ile değiştirir. Bu aşamada, eski havuzda bol miktarda Old Cell token bulunurken yerel token yoktur, saldırgan Old Cell token'larını yeniden yerel token ile değiştirerek kâr elde eder. Ardından, saldırgan göç işlemini tekrarlar.
Güvenlik Önerileri
Likidite aktarırken, yeni ve eski havuzlardaki iki tokenin miktarındaki değişiklikler ve mevcut token fiyatını kapsamlı bir şekilde dikkate almak gerekir; yalnızca işlem çiftindeki iki tokenin miktarına dayanarak hesaplama yapmak, manipülasyona karşı önlem almayı sağlamak için kaçınılmalıdır.
Kodun yayına alınmadan önce, potansiyel riskleri azaltmak için kapsamlı bir güvenlik denetimi yapılmalıdır.
Bu olay, karmaşık finansal işlemlerle, özellikle token değişimi ve likidite yönetimiyle uğraşırken ekstra dikkatli olmamız ve çoklu güvenlik önlemleri almamız gerektiğini bir kez daha hatırlatıyor. Aynı zamanda, akıllı sözleşmelerin kapsamlı bir güvenlik denetiminden geçirilmesinin önemini de vurguluyor.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
17 Likes
Reward
17
7
Repost
Share
Comment
0/400
TestnetScholar
· 07-26 07:37
Haziran ayına girmişken hala böyle bir açık mı var?
View OriginalReply0
MimiShrimpChips
· 07-25 15:29
Geçtiğimiz iki yıldan fazla bir süre boyunca aynı ezgi tekrar tekrar çalındı, on binlerce lira piyasa yapıcı için pek bir şey ifade etmiyor.
View OriginalReply0
ContractSurrender
· 07-24 02:02
Yine bir Hacker beni kandırdı, gerçekten hiç eğlenceli değil.
Cellframe Network flaş kredi saldırısı uğradı, Hacker 76.000 dolar kazandı.
Cellframe Network flaş kredi̇ saldirisi olay analizi
2023年6月1日10时7分55秒(UTC+8),Cellframe Network某 akıllı zincir üzerinde likidite göçü sürecindeki token sayımı sorunundan dolayı bir saldırıya uğradı. Bu saldırı sonucunda hacker 76,112 dolar kazandı.
Saldırının Temel Nedeni
Saldırının temel nedeni, likidite göçü sürecindeki hesaplama sorunudur.
Saldırı Süreci Detayı
Sonrasında, saldırgan likidite göç fonksiyonunu çağırdı. Bu aşamada, yeni havuzda neredeyse hiç yerel token yokken, eski havuzda neredeyse hiç Old Cell tokeni yoktu. Göç süreci aşağıdaki adımları içerir:
Eski havuzda neredeyse hiç Old Cell token'i bulunmadığı için, likiditeyi kaldırırken elde edilen yerel token sayısı artarken, Old Cell token sayısı azalır. Bu, kullanıcıların yalnızca az miktarda yerel token ve New Cell token ekleyerek likidite elde etmelerini sağlar; fazla yerel token ve Old Cell token'ler kullanıcıya iade edilir.
Güvenlik Önerileri
Likidite aktarırken, yeni ve eski havuzlardaki iki tokenin miktarındaki değişiklikler ve mevcut token fiyatını kapsamlı bir şekilde dikkate almak gerekir; yalnızca işlem çiftindeki iki tokenin miktarına dayanarak hesaplama yapmak, manipülasyona karşı önlem almayı sağlamak için kaçınılmalıdır.
Kodun yayına alınmadan önce, potansiyel riskleri azaltmak için kapsamlı bir güvenlik denetimi yapılmalıdır.
Bu olay, karmaşık finansal işlemlerle, özellikle token değişimi ve likidite yönetimiyle uğraşırken ekstra dikkatli olmamız ve çoklu güvenlik önlemleri almamız gerektiğini bir kez daha hatırlatıyor. Aynı zamanda, akıllı sözleşmelerin kapsamlı bir güvenlik denetiminden geçirilmesinin önemini de vurguluyor.