Аналіз події атаки на мережу Cellframe за допомогою Термінові позики
1 червня 2023 року о 10:07:55 (UTC+8) мережа Cellframe зазнала хакерської атаки на деякому смарт-контрактному ланцюзі через проблему підрахунку кількості токенів під час процесу міграції ліквідності. Ця атака принесла хакерам прибуток близько 76 112 доларів.
Основна причина атаки
Проблема з розрахунками під час процесу міграції ліквідності.
Детальний опис процесу атаки
Атакуючий спочатку отримує 1000 певних рідних токенів ланцюга та 500000 токенів New Cell через Термінові позики. Потім атакуючий обмінює всі токени New Cell на рідні токени, що призводить до того, що кількість рідних токенів у ліквідному пулі наближається до нуля. Нарешті, атакуючий обмінює 900 рідних токенів на токени Old Cell.
Варто зазначити, що зловмисник перед початком атаки спочатку додав ліквідність Old Cell та рідних токенів, отримавши Old lp.
Далі зловмисник викликає функцію міграції ліквідності. На цей момент у новому пулі майже немає рідних токенів, а у старому пулі майже немає токенів Old Cell. Процес міграції включає:
Видалити стару ліквідність та повернути користувачеві відповідну кількість токенів
Додати нову ліквідність відповідно до пропорцій нового пулу
Оскільки в старому пулі практично немає токенів Old Cell, при видаленні ліквідності кількість отриманих рідних токенів збільшується, а кількість токенів Old Cell зменшується. Це призводить до того, що користувачам потрібно додати лише невелику кількість рідних токенів та токенів New Cell для отримання ліквідності, а надмірні рідні токени та токени Old Cell повертаються користувачам.
Нарешті, зловмисник видаляє ліквідність нового пулу та обмінює повернуті токени Old Cell на рідні токени. У цей момент у старому пулі є велика кількість токенів Old Cell, але майже немає рідних токенів, зловмисник знову обмінює токени Old Cell на рідні токени, завершуючи отримання прибутку. Потім зловмисник повторює операцію міграції.
Рекомендації з безпеки
При міграції ліквідності слід всебічно враховувати зміни в кількості двох токенів у новому та старому пулі, а також поточну ціну токенів, щоб уникнути прямого використання кількості двох валют у торговій парі для розрахунків, щоб запобігти маніпуляціям.
Перед запуском коду обов'язково проведіть всебічний аудит безпеки, щоб виявити та виправити потенційні вразливості.
Ця подія ще раз підкреслила важливість безпеки та якості коду в сфері децентралізованих фінансів. Команда проекту повинна більш обережно розробляти та реалізовувати ключові функції, особливо ті, що стосуються руху коштів. Водночас користувачі також повинні проявляти пильність, усвідомлювати потенційні ризики та вживати необхідних заходів захисту.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
17 лайків
Нагородити
17
7
Поділіться
Прокоментувати
0/400
CounterIndicator
· 07-22 22:36
Ще одна компанія збанкрутувала.
Переглянути оригіналвідповісти на0
ApyWhisperer
· 07-21 13:38
叒又 є Термінові позики пастка не нова а
Переглянути оригіналвідповісти на0
MimiShrimpChips
· 07-21 05:50
Старі новини з Мавпячого року, дрібниці, які постійно повторюються.
Переглянути оригіналвідповісти на0
MetaLord420
· 07-19 23:12
Ця втрата всього лише дрібниця
Переглянути оригіналвідповісти на0
ThreeHornBlasts
· 07-19 23:06
Знову обдурювати людей, як лохів Термінові позики
Переглянути оригіналвідповісти на0
PerpetualLonger
· 07-19 23:01
купувати просадку можливості Все це шорт позиції роблять!
Переглянути оригіналвідповісти на0
NFTArtisanHQ
· 07-19 22:46
через призму пост-цифрової естетики... ще одна вразливість смарт-контракту танцює з хаосом
Cellframe Network зазнав флеш-атаки, внаслідок уразливості міграції ліквідності було завдано збитків на 7,6 тисячі доларів США.
Аналіз події атаки на мережу Cellframe за допомогою Термінові позики
1 червня 2023 року о 10:07:55 (UTC+8) мережа Cellframe зазнала хакерської атаки на деякому смарт-контрактному ланцюзі через проблему підрахунку кількості токенів під час процесу міграції ліквідності. Ця атака принесла хакерам прибуток близько 76 112 доларів.
Основна причина атаки
Проблема з розрахунками під час процесу міграції ліквідності.
Детальний опис процесу атаки
Далі зловмисник викликає функцію міграції ліквідності. На цей момент у новому пулі майже немає рідних токенів, а у старому пулі майже немає токенів Old Cell. Процес міграції включає:
Оскільки в старому пулі практично немає токенів Old Cell, при видаленні ліквідності кількість отриманих рідних токенів збільшується, а кількість токенів Old Cell зменшується. Це призводить до того, що користувачам потрібно додати лише невелику кількість рідних токенів та токенів New Cell для отримання ліквідності, а надмірні рідні токени та токени Old Cell повертаються користувачам.
Рекомендації з безпеки
При міграції ліквідності слід всебічно враховувати зміни в кількості двох токенів у новому та старому пулі, а також поточну ціну токенів, щоб уникнути прямого використання кількості двох валют у торговій парі для розрахунків, щоб запобігти маніпуляціям.
Перед запуском коду обов'язково проведіть всебічний аудит безпеки, щоб виявити та виправити потенційні вразливості.
Ця подія ще раз підкреслила важливість безпеки та якості коду в сфері децентралізованих фінансів. Команда проекту повинна більш обережно розробляти та реалізовувати ключові функції, особливо ті, що стосуються руху коштів. Водночас користувачі також повинні проявляти пильність, усвідомлювати потенційні ризики та вживати необхідних заходів захисту.