Análise do incidente de ataque de empréstimo flash na Cellframe Network
No dia 1 de junho de 2023, a Cellframe Network foi atacada por hackers na cadeia de contratos inteligentes devido a uma vulnerabilidade de cálculo durante o processo de migração de liquidez, resultando em uma perda de cerca de 76.000 dólares.
Análise do processo de ataque
O atacante primeiro obtém uma grande quantidade de fundos através de Empréstimos Flash, incluindo 1000 tokens nativos de uma determinada cadeia e 500 mil tokens New Cell.
Em seguida, todos os tokens New Cell foram trocados por tokens nativos, fazendo com que a quantidade de tokens nativos no fundo se aproximasse de zero.
O atacante troca novamente 900 tokens nativos por tokens Old Cell.
Antes do ataque, o hacker já havia adicionado liquidez ao Old Cell e ao token nativo, obtendo o Old lp.
Em seguida, chame a função de migração de liquidez. Neste momento, quase não há tokens nativos no novo pool e quase não há tokens Old Cell no pool antigo.
O processo de migração inclui: remoção da antiga liquidez e devolução dos tokens; adição de nova liquidez de acordo com a nova proporção do pool. Devido à escassez de tokens Old Cell no antigo pool, a quantidade de tokens nativos obtidos ao remover a liquidez aumenta, enquanto a quantidade de Old Cell diminui.
Os usuários precisam de apenas uma pequena quantidade de tokens nativos e New Cell para obter liquidez, e os tokens em excesso serão devolvidos.
Por fim, o atacante remove a liquidez do novo pool e troca os Old Cells devolvidos por tokens nativos. Neste momento, há Old Cells suficientes no pool antigo, mas sem tokens nativos, e o atacante troca novamente para lucrar.
O atacante repete a operação de migração acima, obtendo lucros continuamente.
Aviso de Segurança
Ao migrar a liquidez, deve-se considerar de forma abrangente as variações na quantidade de tokens dos dois pools e o preço atual, evitando o uso direto da quantidade de pares de negociação para cálculo.
É crucial realizar uma auditoria de segurança abrangente e rigorosa antes do lançamento, pois isso pode prevenir efetivamente esse tipo de vulnerabilidade.
A equipe do projeto deve monitorar de perto o estado do fundo, detectando prontamente flutuações anormais.
O design do contrato deve considerar mecanismos de segurança em situações extremas, como definir limites de negociação ou funções de pausa.
Reforçar a educação comunitária, aumentando a consciência dos usuários sobre os riscos de segurança, como ataques de empréstimo flash.
Este evento destaca novamente a importância de um controlo rigoroso da segurança durante o design e a implementação de projetos DeFi, e também serve como um aviso para toda a indústria.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
16 Curtidas
Recompensa
16
3
Repostar
Compartilhar
Comentário
0/400
Degentleman
· 08-13 17:12
Outra empresa de Empréstimos Flash foi afetada
Ver originalResponder0
ChainSherlockGirl
· 08-13 17:09
Mais um experimento de nível de novato. O data DOGE cheirou isso como um estudo de caso.
Ver originalResponder0
MEVSandwichVictim
· 08-13 16:55
Mais uma vez os Empréstimos Flash estão a fazer estragos, não dá para aguentar.
Cellframe sofreu um ataque de empréstimo flash com uma perda de 76.000 dólares. A vulnerabilidade na migração de liquidez gerou um alerta.
Análise do incidente de ataque de empréstimo flash na Cellframe Network
No dia 1 de junho de 2023, a Cellframe Network foi atacada por hackers na cadeia de contratos inteligentes devido a uma vulnerabilidade de cálculo durante o processo de migração de liquidez, resultando em uma perda de cerca de 76.000 dólares.
Análise do processo de ataque
O atacante primeiro obtém uma grande quantidade de fundos através de Empréstimos Flash, incluindo 1000 tokens nativos de uma determinada cadeia e 500 mil tokens New Cell.
Em seguida, todos os tokens New Cell foram trocados por tokens nativos, fazendo com que a quantidade de tokens nativos no fundo se aproximasse de zero.
O atacante troca novamente 900 tokens nativos por tokens Old Cell.
Antes do ataque, o hacker já havia adicionado liquidez ao Old Cell e ao token nativo, obtendo o Old lp.
Em seguida, chame a função de migração de liquidez. Neste momento, quase não há tokens nativos no novo pool e quase não há tokens Old Cell no pool antigo.
O processo de migração inclui: remoção da antiga liquidez e devolução dos tokens; adição de nova liquidez de acordo com a nova proporção do pool. Devido à escassez de tokens Old Cell no antigo pool, a quantidade de tokens nativos obtidos ao remover a liquidez aumenta, enquanto a quantidade de Old Cell diminui.
Os usuários precisam de apenas uma pequena quantidade de tokens nativos e New Cell para obter liquidez, e os tokens em excesso serão devolvidos.
Por fim, o atacante remove a liquidez do novo pool e troca os Old Cells devolvidos por tokens nativos. Neste momento, há Old Cells suficientes no pool antigo, mas sem tokens nativos, e o atacante troca novamente para lucrar.
O atacante repete a operação de migração acima, obtendo lucros continuamente.
Aviso de Segurança
Ao migrar a liquidez, deve-se considerar de forma abrangente as variações na quantidade de tokens dos dois pools e o preço atual, evitando o uso direto da quantidade de pares de negociação para cálculo.
É crucial realizar uma auditoria de segurança abrangente e rigorosa antes do lançamento, pois isso pode prevenir efetivamente esse tipo de vulnerabilidade.
A equipe do projeto deve monitorar de perto o estado do fundo, detectando prontamente flutuações anormais.
O design do contrato deve considerar mecanismos de segurança em situações extremas, como definir limites de negociação ou funções de pausa.
Reforçar a educação comunitária, aumentando a consciência dos usuários sobre os riscos de segurança, como ataques de empréstimo flash.
Este evento destaca novamente a importância de um controlo rigoroso da segurança durante o design e a implementação de projetos DeFi, e também serve como um aviso para toda a indústria.