Analyse de l'incident d'attaque par Prêts Flash sur le réseau Cellframe
Le 1er juin 2023 à 10h07min55s (UTC+8), Cellframe Network a été victime d'une attaque de hacker sur une certaine chaîne intelligente en raison d'un problème de calcul du nombre de jetons lors du processus de migration de liquidité. Cette attaque a permis au hacker de réaliser un bénéfice d'environ 76 112 dollars.
Détails de l'attaque
L'attaquant a d'abord obtenu 1000 jetons natifs d'une certaine chaîne et 500 000 jetons New Cell grâce à un Prêt Flash. Ensuite, l'attaquant a échangé tous les jetons New Cell contre des jetons natifs, ce qui a entraîné une quantité de jetons natifs dans la piscine de liquidités proche de zéro. Enfin, l'attaquant a échangé 900 jetons natifs contre des jetons Old Cell.
Il est à noter que l'attaquant a d'abord ajouté de la liquidité pour Old Cell et les jetons natifs avant de lancer l'attaque, obtenant ainsi des jetons LP Old.
Processus d'attaque
L'attaquant appelle la fonction de migration de liquidité. À ce moment-là, la nouvelle piscine a presque aucun jeton natif, et l'ancienne piscine a presque aucun jeton Old Cell.
Le processus de migration comprend : la suppression de l'ancienne liquidité et le remboursement du nombre correspondant de jetons aux utilisateurs ; puis, ajouter la nouvelle liquidité selon le ratio de la nouvelle piscine.
En raison de l'absence presque totale de jetons Old Cell dans l'ancienne piscine, le nombre de jetons natifs obtenus lors de la suppression de la liquidité augmente, tandis que le nombre de jetons Old Cell diminue.
L'utilisateur n'a besoin d'ajouter qu'une petite quantité de jetons natifs et de jetons New Cell pour obtenir de la liquidité, les jetons natifs supplémentaires et les jetons Old Cell sont retournés à l'utilisateur.
L'attaquant retire ensuite la liquidité du nouveau pool et échange les jetons Old Cell migrés en jetons natifs.
À ce moment-là, il y a une grande quantité de jetons Old Cell dans l'ancienne piscine mais presque pas de jetons natifs, l'attaquant échange à nouveau les jetons Old Cell contre des jetons natifs, réalisant ainsi un profit.
L'attaquant répète l'opération de migration pour réaliser des profits continuellement.
Avertissement de sécurité
Lors de la migration de liquidité, il est important de prendre en compte les variations de quantité des deux types de tokens dans les anciennes et nouvelles pools, ainsi que les prix actuels des tokens. Utiliser directement les quantités des deux monnaies dans la paire de trading pour les calculs peut facilement être manipulé.
Avant le déploiement du code, un audit de sécurité complet et rigoureux doit être effectué pour identifier et corriger les vulnérabilités potentielles.
Les équipes de projet doivent surveiller de près les activités anormales sur la chaîne et prendre des mesures rapidement pour prévenir les attaques potentielles.
Les utilisateurs doivent faire preuve de prudence lorsqu'ils participent à de nouveaux projets, en particulier lorsqu'il s'agit d'opérations impliquant des montants importants.
Cet incident met à nouveau en évidence les défis de sécurité auxquels les projets DeFi sont confrontés lors de la conception et de la mise en œuvre, et nous rappelle que dans le domaine en rapide évolution du Web3, la sécurité doit toujours être une priorité.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
7 J'aime
Récompense
7
3
Partager
Commentaire
0/400
liquiditea_sipper
· 08-04 10:25
Encore une vague de Prêts Flash Arbitrage, professionnels !
Voir l'originalRépondre0
GateUser-beba108d
· 08-04 10:19
Hehe, le coût des Prêts Flash est vraiment trop bas.
Cellframe Network a subi une attaque par prêts flash, les hackers ont réalisé un profit de 76 000 $.
Analyse de l'incident d'attaque par Prêts Flash sur le réseau Cellframe
Le 1er juin 2023 à 10h07min55s (UTC+8), Cellframe Network a été victime d'une attaque de hacker sur une certaine chaîne intelligente en raison d'un problème de calcul du nombre de jetons lors du processus de migration de liquidité. Cette attaque a permis au hacker de réaliser un bénéfice d'environ 76 112 dollars.
Détails de l'attaque
L'attaquant a d'abord obtenu 1000 jetons natifs d'une certaine chaîne et 500 000 jetons New Cell grâce à un Prêt Flash. Ensuite, l'attaquant a échangé tous les jetons New Cell contre des jetons natifs, ce qui a entraîné une quantité de jetons natifs dans la piscine de liquidités proche de zéro. Enfin, l'attaquant a échangé 900 jetons natifs contre des jetons Old Cell.
Il est à noter que l'attaquant a d'abord ajouté de la liquidité pour Old Cell et les jetons natifs avant de lancer l'attaque, obtenant ainsi des jetons LP Old.
Processus d'attaque
L'attaquant appelle la fonction de migration de liquidité. À ce moment-là, la nouvelle piscine a presque aucun jeton natif, et l'ancienne piscine a presque aucun jeton Old Cell.
Le processus de migration comprend : la suppression de l'ancienne liquidité et le remboursement du nombre correspondant de jetons aux utilisateurs ; puis, ajouter la nouvelle liquidité selon le ratio de la nouvelle piscine.
En raison de l'absence presque totale de jetons Old Cell dans l'ancienne piscine, le nombre de jetons natifs obtenus lors de la suppression de la liquidité augmente, tandis que le nombre de jetons Old Cell diminue.
L'utilisateur n'a besoin d'ajouter qu'une petite quantité de jetons natifs et de jetons New Cell pour obtenir de la liquidité, les jetons natifs supplémentaires et les jetons Old Cell sont retournés à l'utilisateur.
L'attaquant retire ensuite la liquidité du nouveau pool et échange les jetons Old Cell migrés en jetons natifs.
À ce moment-là, il y a une grande quantité de jetons Old Cell dans l'ancienne piscine mais presque pas de jetons natifs, l'attaquant échange à nouveau les jetons Old Cell contre des jetons natifs, réalisant ainsi un profit.
L'attaquant répète l'opération de migration pour réaliser des profits continuellement.
Avertissement de sécurité
Lors de la migration de liquidité, il est important de prendre en compte les variations de quantité des deux types de tokens dans les anciennes et nouvelles pools, ainsi que les prix actuels des tokens. Utiliser directement les quantités des deux monnaies dans la paire de trading pour les calculs peut facilement être manipulé.
Avant le déploiement du code, un audit de sécurité complet et rigoureux doit être effectué pour identifier et corriger les vulnérabilités potentielles.
Les équipes de projet doivent surveiller de près les activités anormales sur la chaîne et prendre des mesures rapidement pour prévenir les attaques potentielles.
Les utilisateurs doivent faire preuve de prudence lorsqu'ils participent à de nouveaux projets, en particulier lorsqu'il s'agit d'opérations impliquant des montants importants.
Cet incident met à nouveau en évidence les défis de sécurité auxquels les projets DeFi sont confrontés lors de la conception et de la mise en œuvre, et nous rappelle que dans le domaine en rapide évolution du Web3, la sécurité doit toujours être une priorité.