Cellframe Network, flaş kredi saldırısı olayı analizi
2023年6月1日10时07分55秒(UTC+8),Cellframe Network某 akıllı sözleşme zincirinde likidite göçü sürecindeki token sayımı sorunundan dolayı bir saldırıya uğradı. Bu saldırı sonucunda hacker yaklaşık 76,112 dolar kazanç sağladı.
Saldırının Temel Nedenleri
Likidite göçü sürecinde hesaplamada sorunlar ortaya çıktı.
Saldırı Süreci Ayrıntılı Açıklama
Saldırgan öncelikle Flaş Krediler aracılığıyla 1000 adet belirli bir zincirin yerel token'ını ve 500.000 adet New Cell token'ını elde eder. Ardından, saldırgan tüm New Cell token'larını yerel token ile değiştirir, bu da likidite havuzundaki yerel token miktarının sıfıra yakın olmasına neden olur. Son olarak, saldırgan 900 adet yerel token ile Old Cell token'ına dönüşüm yapar.
Dikkate değer bir nokta, saldırganların saldırıya başlamadan önce Old Cell ve yerel tokenin likiditesini ekleyerek Old lp elde etmeleridir.
Ardından, saldırgan likidite göç fonksiyonunu çağırır. Bu noktada, yeni havuzda neredeyse hiç yerel token yoktur ve eski havuzda neredeyse hiç Old Cell token yoktur. Göç süreci şunları içerir:
Eski likiditeyi kaldırın ve karşılık gelen miktardaki tokenleri kullanıcılara iade edin
Yeni likiditeyi yeni havuzun oranına göre ekleyin
Eski havuzda neredeyse hiç Old Cell tokeni olmadığından, likidite kaldırıldığında elde edilen yerel token sayısı artmakta, Old Cell token sayısı ise azalmaktadır. Bu durum, kullanıcıların likidite sağlamak için yalnızca az miktarda yerel token ve New Cell tokeni eklemeleri gerektiği anlamına gelir, fazla yerel token ve Old Cell tokeni ise kullanıcıya iade edilir.
Son olarak, saldırgan yeni havuzun likiditesini kaldırır ve göç edilen Old Cell tokenlerini yerel tokenle değiştirir. Bu noktada, eski havuzda çok sayıda Old Cell tokeni vardır ama neredeyse hiç yerel token yoktur, saldırgan Old Cell tokenlerini tekrar yerel tokenle değiştirir ve kârını tamamlar. Saldırgan daha sonra göç işlemini tekrarlar.
Güvenlik Önerileri
Likidite taşırken, yeni ve eski havuzlardaki iki tokenin miktarındaki değişiklikler ve mevcut token fiyatını kapsamlı bir şekilde dikkate almak gerekir; iki para biriminin miktarını hesaplama amacıyla doğrudan işlem çiftindeki miktarları kullanmaktan kaçının, böylece manipülasyondan korunmuş olursunuz.
Kod canlıya alınmadan önce, potansiyel açıkları keşfetmek ve düzeltmek için kapsamlı bir güvenlik denetimi yapılmalıdır.
Bu olay, merkeziyetsiz finans alanında güvenlik ve kod kalitesinin önemini bir kez daha vurgulamaktadır. Proje ekiplerinin, özellikle fon akışını içeren kritik işlemlerde, temel işlevleri daha dikkatli bir şekilde tasarlayıp uygulamaları gerekmektedir. Aynı zamanda, kullanıcıların da dikkatli olmaları, potansiyel riskleri anlamaları ve gerekli koruma önlemlerini almaları önemlidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
17 Likes
Reward
17
7
Share
Comment
0/400
CounterIndicator
· 07-22 22:36
Bir başka şirket iflas etti.
View OriginalReply0
ApyWhisperer
· 07-21 13:38
叒又是Flaş Krediler tuzak değil mi
View OriginalReply0
MimiShrimpChips
· 07-21 05:50
Maymun yılı, at ayı eski haberler, önemsiz ayrıntılar sürekli tekrar ediliyor.
View OriginalReply0
MetaLord420
· 07-19 23:12
Bu kayıp sadece bir damla yağmur.
View OriginalReply0
ThreeHornBlasts
· 07-19 23:06
Yine Flaş Krediler ile insanların enayi yerine koymak!
View OriginalReply0
PerpetualLonger
· 07-19 23:01
dipten satın al fırsatları hepsi short pozisyonlar tarafından yapılıyor!
View OriginalReply0
NFTArtisanHQ
· 07-19 22:46
post-dijital estetikler açısından... başka bir akıllı sözleşme açığı kaosla dans ediyor
Cellframe Network flaş kredi̇ saldirisi nedeniyle 7.6 bin dolarlık zarar veren likidite göçü açığı yaşadı.
Cellframe Network, flaş kredi saldırısı olayı analizi
2023年6月1日10时07分55秒(UTC+8),Cellframe Network某 akıllı sözleşme zincirinde likidite göçü sürecindeki token sayımı sorunundan dolayı bir saldırıya uğradı. Bu saldırı sonucunda hacker yaklaşık 76,112 dolar kazanç sağladı.
Saldırının Temel Nedenleri
Likidite göçü sürecinde hesaplamada sorunlar ortaya çıktı.
Saldırı Süreci Ayrıntılı Açıklama
Ardından, saldırgan likidite göç fonksiyonunu çağırır. Bu noktada, yeni havuzda neredeyse hiç yerel token yoktur ve eski havuzda neredeyse hiç Old Cell token yoktur. Göç süreci şunları içerir:
Eski havuzda neredeyse hiç Old Cell tokeni olmadığından, likidite kaldırıldığında elde edilen yerel token sayısı artmakta, Old Cell token sayısı ise azalmaktadır. Bu durum, kullanıcıların likidite sağlamak için yalnızca az miktarda yerel token ve New Cell tokeni eklemeleri gerektiği anlamına gelir, fazla yerel token ve Old Cell tokeni ise kullanıcıya iade edilir.
Güvenlik Önerileri
Likidite taşırken, yeni ve eski havuzlardaki iki tokenin miktarındaki değişiklikler ve mevcut token fiyatını kapsamlı bir şekilde dikkate almak gerekir; iki para biriminin miktarını hesaplama amacıyla doğrudan işlem çiftindeki miktarları kullanmaktan kaçının, böylece manipülasyondan korunmuş olursunuz.
Kod canlıya alınmadan önce, potansiyel açıkları keşfetmek ve düzeltmek için kapsamlı bir güvenlik denetimi yapılmalıdır.
Bu olay, merkeziyetsiz finans alanında güvenlik ve kod kalitesinin önemini bir kez daha vurgulamaktadır. Proje ekiplerinin, özellikle fon akışını içeren kritik işlemlerde, temel işlevleri daha dikkatli bir şekilde tasarlayıp uygulamaları gerekmektedir. Aynı zamanda, kullanıcıların da dikkatli olmaları, potansiyel riskleri anlamaları ve gerekli koruma önlemlerini almaları önemlidir.