Phân tích sự kiện Cellframe Network bị cuộc tấn công cho vay chớp nhoáng
Vào ngày 1 tháng 6 năm 2023, Mạng Cellframe đã bị tấn công bởi hacker do lỗ hổng tính toán trong quá trình di chuyển thanh khoản trên chuỗi hợp đồng thông minh, dẫn đến thiệt hại khoảng 76.000 đô la.
Phân tích quá trình tấn công
Kẻ tấn công trước tiên thông qua Khoản vay nhanh để lấy được một lượng lớn vốn, bao gồm 1000 đồng token gốc của một chuỗi nào đó và 500000 đồng token New Cell.
Sau đó, tất cả các token New Cell sẽ được đổi thành token gốc, dẫn đến số lượng token gốc trong quỹ gần như bằng không.
Kẻ tấn công lại sử dụng 900 mã thông báo gốc để đổi lấy mã thông báo Old Cell.
Trước khi tấn công, hacker đã thêm thanh khoản cho Old Cell và token gốc, nhận được Old lp.
Tiếp theo gọi hàm di chuyển thanh khoản. Lúc này trong hồ mới hầu như không có mã thông báo gốc, trong hồ cũ hầu như không có mã thông báo Old Cell.
Quá trình di chuyển bao gồm: loại bỏ thanh khoản cũ và trả lại token; thêm thanh khoản mới theo tỷ lệ hồ bơi mới. Do token Old Cell khan hiếm trong hồ bơi cũ, số token gốc nhận được khi loại bỏ thanh khoản tăng lên, Old Cell giảm đi.
Người dùng chỉ cần một lượng nhỏ token gốc và New Cell để có được tính thanh khoản, token dư thừa sẽ được hoàn trả.
Cuối cùng, kẻ tấn công loại bỏ tính thanh khoản mới, sẽ đổi Old Cell đã hoàn trả thành token gốc. Lúc này, trong hồ cũ Old Cell đầy đủ nhưng không có token gốc, kẻ tấn công lại đổi để thu lợi.
Kẻ tấn công lặp lại các thao tác di chuyển trên để tiếp tục thu lợi.
Những gợi ý về an toàn
Khi chuyển giao tính thanh khoản, cần xem xét toàn diện sự biến đổi số lượng của hai loại token trong bể cũ và mới cũng như giá hiện tại, tránh việc sử dụng trực tiếp số lượng cặp giao dịch để tính toán.
Thực hiện kiểm toán an ninh toàn diện và nghiêm ngặt trước khi ra mắt là rất quan trọng, có thể hiệu quả ngăn ngừa các lỗ hổng như vậy.
Các dự án nên theo dõi chặt chẽ tình trạng quỹ, kịp thời phát hiện sự biến động bất thường.
Khi thiết kế hợp đồng, cần xem xét cơ chế bảo mật trong các tình huống cực đoan, chẳng hạn như thiết lập hạn mức giao dịch hoặc chức năng tạm dừng.
Tăng cường giáo dục cộng đồng, nâng cao nhận thức của người dùng về các rủi ro an ninh như cuộc tấn công cho vay chớp nhoáng.
Sự kiện này một lần nữa làm nổi bật tầm quan trọng của việc kiểm soát chặt chẽ an ninh trong quá trình thiết kế và triển khai các dự án DeFi, đồng thời cũng đã gióng lên hồi chuông cảnh báo cho toàn ngành.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
15 thích
Phần thưởng
15
3
Đăng lại
Chia sẻ
Bình luận
0/400
Degentleman
· 08-13 17:12
Lại một khoản vay nhanh gặp nạn
Xem bản gốcTrả lời0
ChainSherlockGirl
· 08-13 17:09
Một thí nghiệm lỗi ở cấp độ người mới nữa. Dữ liệu DOGE đã cảm nhận rằng đây là một nghiên cứu trường hợp.
Xem bản gốcTrả lời0
MEVSandwichVictim
· 08-13 16:55
Lại là khoản vay nhanh gây chuyện, không chịu nổi rồi.
Cellframe遭 cuộc tấn công cho vay chớp nhoáng损失7.6万美元 Thanh khoản迁移漏洞引发警示
Phân tích sự kiện Cellframe Network bị cuộc tấn công cho vay chớp nhoáng
Vào ngày 1 tháng 6 năm 2023, Mạng Cellframe đã bị tấn công bởi hacker do lỗ hổng tính toán trong quá trình di chuyển thanh khoản trên chuỗi hợp đồng thông minh, dẫn đến thiệt hại khoảng 76.000 đô la.
Phân tích quá trình tấn công
Kẻ tấn công trước tiên thông qua Khoản vay nhanh để lấy được một lượng lớn vốn, bao gồm 1000 đồng token gốc của một chuỗi nào đó và 500000 đồng token New Cell.
Sau đó, tất cả các token New Cell sẽ được đổi thành token gốc, dẫn đến số lượng token gốc trong quỹ gần như bằng không.
Kẻ tấn công lại sử dụng 900 mã thông báo gốc để đổi lấy mã thông báo Old Cell.
Trước khi tấn công, hacker đã thêm thanh khoản cho Old Cell và token gốc, nhận được Old lp.
Tiếp theo gọi hàm di chuyển thanh khoản. Lúc này trong hồ mới hầu như không có mã thông báo gốc, trong hồ cũ hầu như không có mã thông báo Old Cell.
Quá trình di chuyển bao gồm: loại bỏ thanh khoản cũ và trả lại token; thêm thanh khoản mới theo tỷ lệ hồ bơi mới. Do token Old Cell khan hiếm trong hồ bơi cũ, số token gốc nhận được khi loại bỏ thanh khoản tăng lên, Old Cell giảm đi.
Người dùng chỉ cần một lượng nhỏ token gốc và New Cell để có được tính thanh khoản, token dư thừa sẽ được hoàn trả.
Cuối cùng, kẻ tấn công loại bỏ tính thanh khoản mới, sẽ đổi Old Cell đã hoàn trả thành token gốc. Lúc này, trong hồ cũ Old Cell đầy đủ nhưng không có token gốc, kẻ tấn công lại đổi để thu lợi.
Kẻ tấn công lặp lại các thao tác di chuyển trên để tiếp tục thu lợi.
Những gợi ý về an toàn
Khi chuyển giao tính thanh khoản, cần xem xét toàn diện sự biến đổi số lượng của hai loại token trong bể cũ và mới cũng như giá hiện tại, tránh việc sử dụng trực tiếp số lượng cặp giao dịch để tính toán.
Thực hiện kiểm toán an ninh toàn diện và nghiêm ngặt trước khi ra mắt là rất quan trọng, có thể hiệu quả ngăn ngừa các lỗ hổng như vậy.
Các dự án nên theo dõi chặt chẽ tình trạng quỹ, kịp thời phát hiện sự biến động bất thường.
Khi thiết kế hợp đồng, cần xem xét cơ chế bảo mật trong các tình huống cực đoan, chẳng hạn như thiết lập hạn mức giao dịch hoặc chức năng tạm dừng.
Tăng cường giáo dục cộng đồng, nâng cao nhận thức của người dùng về các rủi ro an ninh như cuộc tấn công cho vay chớp nhoáng.
Sự kiện này một lần nữa làm nổi bật tầm quan trọng của việc kiểm soát chặt chẽ an ninh trong quá trình thiết kế và triển khai các dự án DeFi, đồng thời cũng đã gióng lên hồi chuông cảnh báo cho toàn ngành.