Анализ инцидента атаки флеш- займа на Cellframe Network
1 июня 2023 года в 10:07:55 (UTC+8) сеть Cellframe Network подверглась хакерской атаке из-за проблемы с расчетом количества токенов в процессе миграции ликвидности на одной из смарт-контрактных цепей. Эта атака принесла хакерам прибыль около 76,112 долларов.
Коренные причины атаки
Во время процесса миграции ликвидности возникли проблемы с расчетами.
Подробное описание процесса атаки
Атакующий сначала получает 1000 нативных токенов определенной цепочки и 500000 токенов New Cell через Срочные займы. Затем атакующий обменивает все токены New Cell на нативные токены, что приводит к тому, что количество нативных токенов в ликвидном пуле оказывается почти нулевым. Наконец, атакующий обменивает 900 нативных токенов на токены Old Cell.
Стоит отметить, что перед началом атаки злоумышленник сначала добавил ликвидность Old Cell и нативных токенов, получив Old lp.
Далее злоумышленник вызывает функцию миграции ликвидности. В это время в новом пуле почти нет нативных токенов, а в старом пуле почти нет токенов Old Cell. Процесс миграции включает в себя:
Удалите старую ликвидность и верните пользователям соответствующее количество токенов
Добавить новую ликвидность в соответствии с пропорцией нового пула
Из-за того, что в старом пуле практически нет токенов Old Cell, количество получаемых при удалении ликвидности нативных токенов увеличивается, а количество токенов Old Cell уменьшается. Это приводит к тому, что пользователям нужно добавить лишь небольшое количество нативных токенов и токенов New Cell для получения ликвидности, в то время как избыточные нативные токены и токены Old Cell возвращаются пользователям.
В конце концов, злоумышленник удаляет ликвидность нового пула и обменивает возвращенные токены Old Cell на родные токены. В этот момент в старом пуле находится множество токенов Old Cell, но почти нет родных токенов, злоумышленник снова обменивает токены Old Cell на родные токены, завершая получение прибыли. Затем злоумышленник повторяет операцию миграции.
Рекомендации по безопасности
При миграции ликвидности следует всесторонне учитывать изменения количества двух токенов в старом и новом пулах, а также текущую цену токенов, чтобы избежать прямого использования количества двух валют в торговой паре для расчетов и предотвратить манипуляции.
Перед запуском кода обязательно проведите комплексный аудит безопасности, чтобы выявить и устранить потенциальные уязвимости.
Данный инцидент еще раз подчеркивает важность безопасности и качества кода в области децентрализованных финансов. Командам проектов необходимо более внимательно разрабатывать и реализовывать ключевые функции, особенно те операции, которые связаны с движением средств. В то же время пользователи также должны быть бдительными, осведомляться о потенциальных рисках и принимать необходимые защитные меры.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
7
Поделиться
комментарий
0/400
CounterIndicator
· 07-22 22:36
Еще одна компания закрылась.
Посмотреть ОригиналОтветить0
ApyWhisperer
· 07-21 13:38
叒又是 Срочные займы ловушка не новая啊
Посмотреть ОригиналОтветить0
MimiShrimpChips
· 07-21 05:50
Старые новости из года обезьяны и месяца лошади, мелочи, которые постоянно повторяются.
Посмотреть ОригиналОтветить0
MetaLord420
· 07-19 23:12
Эта потеря всего лишь капля в море.
Посмотреть ОригиналОтветить0
ThreeHornBlasts
· 07-19 23:06
Снова разыгрывайте людей как лохов срочными займами.
Посмотреть ОригиналОтветить0
PerpetualLonger
· 07-19 23:01
покупайте падения возможности Все это делают позиции в шорт!
Посмотреть ОригиналОтветить0
NFTArtisanHQ
· 07-19 22:46
через призму постцифровой эстетики... еще одна уязвимость смарт-контракта танцует с хаосом
Cellframe Network遭флеш-атака займа Ликвидность迁移漏洞致损7.6万美元
Анализ инцидента атаки флеш- займа на Cellframe Network
1 июня 2023 года в 10:07:55 (UTC+8) сеть Cellframe Network подверглась хакерской атаке из-за проблемы с расчетом количества токенов в процессе миграции ликвидности на одной из смарт-контрактных цепей. Эта атака принесла хакерам прибыль около 76,112 долларов.
Коренные причины атаки
Во время процесса миграции ликвидности возникли проблемы с расчетами.
Подробное описание процесса атаки
Далее злоумышленник вызывает функцию миграции ликвидности. В это время в новом пуле почти нет нативных токенов, а в старом пуле почти нет токенов Old Cell. Процесс миграции включает в себя:
Из-за того, что в старом пуле практически нет токенов Old Cell, количество получаемых при удалении ликвидности нативных токенов увеличивается, а количество токенов Old Cell уменьшается. Это приводит к тому, что пользователям нужно добавить лишь небольшое количество нативных токенов и токенов New Cell для получения ликвидности, в то время как избыточные нативные токены и токены Old Cell возвращаются пользователям.
Рекомендации по безопасности
При миграции ликвидности следует всесторонне учитывать изменения количества двух токенов в старом и новом пулах, а также текущую цену токенов, чтобы избежать прямого использования количества двух валют в торговой паре для расчетов и предотвратить манипуляции.
Перед запуском кода обязательно проведите комплексный аудит безопасности, чтобы выявить и устранить потенциальные уязвимости.
Данный инцидент еще раз подчеркивает важность безопасности и качества кода в области децентрализованных финансов. Командам проектов необходимо более внимательно разрабатывать и реализовывать ключевые функции, особенно те операции, которые связаны с движением средств. В то же время пользователи также должны быть бдительными, осведомляться о потенциальных рисках и принимать необходимые защитные меры.