Análisis del incidente de ataque de flash loan de Cellframe Network
El 1 de junio de 2023 a las 10:07:55 (UTC+8), Cellframe Network fue víctima de un ataque de hackers en una cadena inteligente debido a un problema en el cálculo de la cantidad de tokens durante el proceso de migración de liquidez. Este ataque resultó en una ganancia de aproximadamente 76,112 dólares para los hackers.
Detalles del ataque
El atacante primero adquirió 1000 tokens nativos de cierta cadena y 500000 tokens de New Cell a través de Flash Loans. Luego, el atacante intercambió todos los tokens de New Cell por tokens nativos, lo que provocó que la cantidad de tokens nativos en el fondo de liquidez se acercara a cero. Finalmente, el atacante intercambió 900 tokens nativos por tokens de Old Cell.
Es importante señalar que los atacantes, antes de iniciar el ataque, añadieron liquidez de Old Cell y tokens nativos, obteniendo así los tokens LP de Old.
Proceso de ataque
El atacante llama a la función de migración de liquidez. En este momento, casi no hay tokens nativos en el nuevo pool y casi no hay tokens Old Cell en el pool antiguo.
El proceso de migración incluye: eliminar la antigua liquidez y devolver la cantidad correspondiente de tokens a los usuarios; luego, agregar nueva liquidez de acuerdo con la proporción del nuevo fondo.
Debido a que casi no hay tokens Old Cell en la piscina antigua, la cantidad de tokens nativos obtenidos al retirar liquidez aumenta, mientras que la cantidad de tokens Old Cell disminuye.
Los usuarios solo necesitan agregar una pequeña cantidad de tokens nativos y tokens New Cell para obtener liquidez, los tokens nativos adicionales y los tokens Old Cell se devuelven al usuario.
El atacante luego retira la liquidez del nuevo pool y intercambia los tokens Old Cell devueltos por tokens nativos.
En este momento, hay una gran cantidad de tokens Old Cell en el viejo fondo, pero casi no hay tokens nativos. El atacante vuelve a intercambiar los tokens Old Cell por tokens nativos, completando así sus ganancias.
El atacante repite la operación de migración, obteniendo ganancias constantemente.
Revelaciones de seguridad
Al realizar la migración de liquidez, se debe considerar de manera integral el cambio en la cantidad de los dos tokens en los nuevos y viejos pools, así como el precio actual de los tokens. Utilizar directamente la cantidad de los dos tipos de monedas en el par de intercambio para los cálculos es fácil de manipular.
Antes de que el código se implemente, se debe realizar una auditoría de seguridad exhaustiva y rigurosa para identificar y corregir posibles vulnerabilidades.
El equipo del proyecto debe prestar atención a actividades anómalas en la cadena y tomar medidas oportunas para prevenir ataques potenciales.
Los usuarios deben ser cautelosos al participar en nuevos proyectos, especialmente cuando se trata de operaciones con grandes sumas de dinero.
Este incidente vuelve a resaltar los desafíos de seguridad que enfrentan los proyectos DeFi en el diseño y la implementación, y nos recuerda que en el rápidamente evolucionando ámbito de Web3, la seguridad debe ser siempre una prioridad.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
7 me gusta
Recompensa
7
3
Compartir
Comentar
0/400
liquiditea_sipper
· 08-04 10:25
Otra ola de Flash Loans trampa, ¡profesionales!
Ver originalesResponder0
GateUser-beba108d
· 08-04 10:19
Jeje, el costo de los Flash Loans es demasiado bajo.
Cellframe Network sufrió un ataque de flash loan, el hacker obtuvo 76,000 dólares.
Análisis del incidente de ataque de flash loan de Cellframe Network
El 1 de junio de 2023 a las 10:07:55 (UTC+8), Cellframe Network fue víctima de un ataque de hackers en una cadena inteligente debido a un problema en el cálculo de la cantidad de tokens durante el proceso de migración de liquidez. Este ataque resultó en una ganancia de aproximadamente 76,112 dólares para los hackers.
Detalles del ataque
El atacante primero adquirió 1000 tokens nativos de cierta cadena y 500000 tokens de New Cell a través de Flash Loans. Luego, el atacante intercambió todos los tokens de New Cell por tokens nativos, lo que provocó que la cantidad de tokens nativos en el fondo de liquidez se acercara a cero. Finalmente, el atacante intercambió 900 tokens nativos por tokens de Old Cell.
Es importante señalar que los atacantes, antes de iniciar el ataque, añadieron liquidez de Old Cell y tokens nativos, obteniendo así los tokens LP de Old.
Proceso de ataque
El atacante llama a la función de migración de liquidez. En este momento, casi no hay tokens nativos en el nuevo pool y casi no hay tokens Old Cell en el pool antiguo.
El proceso de migración incluye: eliminar la antigua liquidez y devolver la cantidad correspondiente de tokens a los usuarios; luego, agregar nueva liquidez de acuerdo con la proporción del nuevo fondo.
Debido a que casi no hay tokens Old Cell en la piscina antigua, la cantidad de tokens nativos obtenidos al retirar liquidez aumenta, mientras que la cantidad de tokens Old Cell disminuye.
Los usuarios solo necesitan agregar una pequeña cantidad de tokens nativos y tokens New Cell para obtener liquidez, los tokens nativos adicionales y los tokens Old Cell se devuelven al usuario.
El atacante luego retira la liquidez del nuevo pool y intercambia los tokens Old Cell devueltos por tokens nativos.
En este momento, hay una gran cantidad de tokens Old Cell en el viejo fondo, pero casi no hay tokens nativos. El atacante vuelve a intercambiar los tokens Old Cell por tokens nativos, completando así sus ganancias.
El atacante repite la operación de migración, obteniendo ganancias constantemente.
Revelaciones de seguridad
Al realizar la migración de liquidez, se debe considerar de manera integral el cambio en la cantidad de los dos tokens en los nuevos y viejos pools, así como el precio actual de los tokens. Utilizar directamente la cantidad de los dos tipos de monedas en el par de intercambio para los cálculos es fácil de manipular.
Antes de que el código se implemente, se debe realizar una auditoría de seguridad exhaustiva y rigurosa para identificar y corregir posibles vulnerabilidades.
El equipo del proyecto debe prestar atención a actividades anómalas en la cadena y tomar medidas oportunas para prevenir ataques potenciales.
Los usuarios deben ser cautelosos al participar en nuevos proyectos, especialmente cuando se trata de operaciones con grandes sumas de dinero.
Este incidente vuelve a resaltar los desafíos de seguridad que enfrentan los proyectos DeFi en el diseño y la implementación, y nos recuerda que en el rápidamente evolucionando ámbito de Web3, la seguridad debe ser siempre una prioridad.