Analisis Kejadian Serangan Pinjaman Flash pada Cellframe Network
Pada 1 Juni 2023, Cellframe Network diserang oleh hacker karena celah perhitungan dalam proses migrasi likuiditas di rantai kontrak pintar, yang menyebabkan kerugian sekitar 76.000 dolar.
Analisis Proses Serangan
Penyerang pertama-tama mendapatkan sejumlah besar dana melalui Pinjaman Flash, termasuk 1000 token asli dari suatu rantai dan 500.000 token New Cell.
Selanjutnya, semua token New Cell ditukarkan menjadi token asli, menyebabkan jumlah token asli dalam pool dana mendekati nol.
Penyerang kemudian menukarkan 900 token asli untuk token Old Cell.
Sebelum serangan, hacker telah menambahkan likuiditas untuk Old Cell dan token asli, memperoleh Old lp.
Selanjutnya panggil fungsi migrasi likuiditas. Pada saat ini, kolam baru hampir tidak memiliki token asli, dan kolam lama hampir tidak memiliki token Old Cell.
Proses migrasi mencakup: menghapus likuiditas lama dan mengembalikan token; menambahkan likuiditas baru sesuai dengan proporsi kolam baru. Karena kelangkaan token Old Cell di kolam lama, jumlah token asli yang diperoleh saat menghapus likuiditas meningkat, dan Old Cell berkurang.
Pengguna hanya memerlukan sedikit token asli dan New Cell untuk mendapatkan likuiditas, token yang berlebih akan dikembalikan.
Terakhir, penyerang menghapus likuiditas kolam baru, dan menukarkan Old Cell yang dikembalikan menjadi token asli. Pada saat ini, Old Cell di kolam lama cukup tetapi tanpa token asli, penyerang sekali lagi menukarkan untuk mendapatkan keuntungan.
Penyerang mengulangi operasi migrasi di atas, terus mendapatkan keuntungan.
Petunjuk Keamanan
Saat melakukan migrasi likuiditas, harus mempertimbangkan secara menyeluruh perubahan jumlah kedua token di kolam lama dan baru serta harga saat ini, hindari menggunakan jumlah pasangan perdagangan secara langsung.
Melakukan audit keamanan yang menyeluruh dan ketat sebelum peluncuran sangat penting untuk secara efektif mencegah kerentanan semacam ini.
Pihak proyek harus memperhatikan status kolam dana secara dekat dan segera menemukan fluktuasi yang tidak biasa.
Desain kontrak harus mempertimbangkan mekanisme keamanan dalam situasi ekstrem, seperti menetapkan batasan transaksi atau fitur penghentian.
Meningkatkan pendidikan komunitas, meningkatkan kesadaran pengguna terhadap risiko keamanan seperti flash loan attack.
Peristiwa ini sekali lagi menyoroti pentingnya pengendalian keamanan yang ketat dalam desain dan implementasi proyek DeFi, serta memberikan peringatan bagi seluruh industri.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
15 Suka
Hadiah
15
3
Posting ulang
Bagikan
Komentar
0/400
Degentleman
· 08-13 17:12
又一家Pinjaman Flash遭殃惹
Lihat AsliBalas0
ChainSherlockGirl
· 08-13 17:09
Sekali lagi, eksperimen kerentanan tingkat pemula. Data DOGE mencium ini sebagai studi kasus.
Lihat AsliBalas0
MEVSandwichVictim
· 08-13 16:55
Lagi-lagi Pinjaman Flash yang bikin masalah, tidak tahan ah.
Cellframe mengalami kerugian $76.000 akibat serangan pinjaman flash, kerentanan migrasi likuiditas memicu peringatan
Analisis Kejadian Serangan Pinjaman Flash pada Cellframe Network
Pada 1 Juni 2023, Cellframe Network diserang oleh hacker karena celah perhitungan dalam proses migrasi likuiditas di rantai kontrak pintar, yang menyebabkan kerugian sekitar 76.000 dolar.
Analisis Proses Serangan
Penyerang pertama-tama mendapatkan sejumlah besar dana melalui Pinjaman Flash, termasuk 1000 token asli dari suatu rantai dan 500.000 token New Cell.
Selanjutnya, semua token New Cell ditukarkan menjadi token asli, menyebabkan jumlah token asli dalam pool dana mendekati nol.
Penyerang kemudian menukarkan 900 token asli untuk token Old Cell.
Sebelum serangan, hacker telah menambahkan likuiditas untuk Old Cell dan token asli, memperoleh Old lp.
Selanjutnya panggil fungsi migrasi likuiditas. Pada saat ini, kolam baru hampir tidak memiliki token asli, dan kolam lama hampir tidak memiliki token Old Cell.
Proses migrasi mencakup: menghapus likuiditas lama dan mengembalikan token; menambahkan likuiditas baru sesuai dengan proporsi kolam baru. Karena kelangkaan token Old Cell di kolam lama, jumlah token asli yang diperoleh saat menghapus likuiditas meningkat, dan Old Cell berkurang.
Pengguna hanya memerlukan sedikit token asli dan New Cell untuk mendapatkan likuiditas, token yang berlebih akan dikembalikan.
Terakhir, penyerang menghapus likuiditas kolam baru, dan menukarkan Old Cell yang dikembalikan menjadi token asli. Pada saat ini, Old Cell di kolam lama cukup tetapi tanpa token asli, penyerang sekali lagi menukarkan untuk mendapatkan keuntungan.
Penyerang mengulangi operasi migrasi di atas, terus mendapatkan keuntungan.
Petunjuk Keamanan
Saat melakukan migrasi likuiditas, harus mempertimbangkan secara menyeluruh perubahan jumlah kedua token di kolam lama dan baru serta harga saat ini, hindari menggunakan jumlah pasangan perdagangan secara langsung.
Melakukan audit keamanan yang menyeluruh dan ketat sebelum peluncuran sangat penting untuk secara efektif mencegah kerentanan semacam ini.
Pihak proyek harus memperhatikan status kolam dana secara dekat dan segera menemukan fluktuasi yang tidak biasa.
Desain kontrak harus mempertimbangkan mekanisme keamanan dalam situasi ekstrem, seperti menetapkan batasan transaksi atau fitur penghentian.
Meningkatkan pendidikan komunitas, meningkatkan kesadaran pengguna terhadap risiko keamanan seperti flash loan attack.
Peristiwa ini sekali lagi menyoroti pentingnya pengendalian keamanan yang ketat dalam desain dan implementasi proyek DeFi, serta memberikan peringatan bagi seluruh industri.