Analisis Peristiwa Serangan Pinjaman Flash pada Cellframe Network
Pada 1 Juni 2023 pukul 10:07:55 (UTC+8), Cellframe Network diserang oleh hacker di suatu rantai pintar karena masalah perhitungan jumlah token selama proses migrasi likuiditas. Serangan ini menyebabkan hacker meraih keuntungan sekitar 76.112 dolar.
Detail Serangan
Penyerang pertama-tama memperoleh 1000 token asli dari suatu rantai dan 500.000 token New Cell melalui Pinjaman Flash. Selanjutnya, penyerang menukarkan semua token New Cell ke dalam token asli, menyebabkan jumlah token asli di dalam kolam likuiditas mendekati nol. Akhirnya, penyerang menukarkan 900 token asli untuk mendapatkan token Old Cell.
Perlu dicatat bahwa penyerang menambahkan likuiditas Old Cell dan token asli sebelum melancarkan serangan, sehingga memperoleh token LP Old.
Proses Serangan
Penyerang memanggil fungsi migrasi likuiditas. Pada saat ini, hampir tidak ada token asli di kolam baru, dan hampir tidak ada token Old Cell di kolam lama.
Proses migrasi mencakup: menghapus likuiditas lama dan mengembalikan jumlah token yang sesuai kepada pengguna; kemudian menambahkan likuiditas baru sesuai dengan proporsi kolam baru.
Karena di kolam lama hampir tidak ada token Old Cell, jumlah token asli yang diperoleh saat menghapus likuiditas meningkat, sementara jumlah token Old Cell berkurang.
Pengguna hanya perlu menambahkan sejumlah kecil token asli dan token New Cell untuk mendapatkan likuiditas, token asli yang berlebih dan token Old Cell akan dikembalikan kepada pengguna.
Penyerang kemudian menghapus likuiditas dari pool baru dan menukar token Old Cell yang dikembalikan dari migrasi menjadi token asli.
Pada saat ini, di kolam lama terdapat banyak token Old Cell tetapi hampir tidak ada token asli, penyerang akan menukarkan token Old Cell kembali menjadi token asli, menyelesaikan keuntungan.
Penyerang melakukan operasi migrasi berulang kali, terus mendapatkan keuntungan.
Petunjuk Keamanan
Dalam melakukan migrasi likuiditas, harus mempertimbangkan secara menyeluruh perubahan jumlah dua jenis token di kolam lama dan baru serta harga token saat ini. Menggunakan jumlah dari kedua jenis mata uang dalam pasangan perdagangan secara langsung untuk perhitungan mudah dimanipulasi.
Sebelum kode diluncurkan, audit keamanan yang komprehensif dan ketat harus dilakukan untuk menemukan dan memperbaiki potensi kerentanan.
Pihak proyek harus memantau aktivitas anomali di blockchain dengan cermat dan segera mengambil langkah untuk mencegah potensi serangan.
Pengguna harus tetap berhati-hati saat berpartisipasi dalam proyek baru, terutama saat melibatkan operasi dengan jumlah dana besar.
Kejadian ini sekali lagi menyoroti tantangan keamanan yang dihadapi proyek DeFi dalam proses desain dan implementasi, serta mengingatkan kita bahwa dalam bidang Web3 yang berkembang pesat, keamanan selalu menjadi faktor utama yang perlu dipertimbangkan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Cellframe Network遭flash loan attack Hacker获利7.6万美元
Analisis Peristiwa Serangan Pinjaman Flash pada Cellframe Network
Pada 1 Juni 2023 pukul 10:07:55 (UTC+8), Cellframe Network diserang oleh hacker di suatu rantai pintar karena masalah perhitungan jumlah token selama proses migrasi likuiditas. Serangan ini menyebabkan hacker meraih keuntungan sekitar 76.112 dolar.
Detail Serangan
Penyerang pertama-tama memperoleh 1000 token asli dari suatu rantai dan 500.000 token New Cell melalui Pinjaman Flash. Selanjutnya, penyerang menukarkan semua token New Cell ke dalam token asli, menyebabkan jumlah token asli di dalam kolam likuiditas mendekati nol. Akhirnya, penyerang menukarkan 900 token asli untuk mendapatkan token Old Cell.
Perlu dicatat bahwa penyerang menambahkan likuiditas Old Cell dan token asli sebelum melancarkan serangan, sehingga memperoleh token LP Old.
Proses Serangan
Penyerang memanggil fungsi migrasi likuiditas. Pada saat ini, hampir tidak ada token asli di kolam baru, dan hampir tidak ada token Old Cell di kolam lama.
Proses migrasi mencakup: menghapus likuiditas lama dan mengembalikan jumlah token yang sesuai kepada pengguna; kemudian menambahkan likuiditas baru sesuai dengan proporsi kolam baru.
Karena di kolam lama hampir tidak ada token Old Cell, jumlah token asli yang diperoleh saat menghapus likuiditas meningkat, sementara jumlah token Old Cell berkurang.
Pengguna hanya perlu menambahkan sejumlah kecil token asli dan token New Cell untuk mendapatkan likuiditas, token asli yang berlebih dan token Old Cell akan dikembalikan kepada pengguna.
Penyerang kemudian menghapus likuiditas dari pool baru dan menukar token Old Cell yang dikembalikan dari migrasi menjadi token asli.
Pada saat ini, di kolam lama terdapat banyak token Old Cell tetapi hampir tidak ada token asli, penyerang akan menukarkan token Old Cell kembali menjadi token asli, menyelesaikan keuntungan.
Penyerang melakukan operasi migrasi berulang kali, terus mendapatkan keuntungan.
Petunjuk Keamanan
Dalam melakukan migrasi likuiditas, harus mempertimbangkan secara menyeluruh perubahan jumlah dua jenis token di kolam lama dan baru serta harga token saat ini. Menggunakan jumlah dari kedua jenis mata uang dalam pasangan perdagangan secara langsung untuk perhitungan mudah dimanipulasi.
Sebelum kode diluncurkan, audit keamanan yang komprehensif dan ketat harus dilakukan untuk menemukan dan memperbaiki potensi kerentanan.
Pihak proyek harus memantau aktivitas anomali di blockchain dengan cermat dan segera mengambil langkah untuk mencegah potensi serangan.
Pengguna harus tetap berhati-hati saat berpartisipasi dalam proyek baru, terutama saat melibatkan operasi dengan jumlah dana besar.
Kejadian ini sekali lagi menyoroti tantangan keamanan yang dihadapi proyek DeFi dalam proses desain dan implementasi, serta mengingatkan kita bahwa dalam bidang Web3 yang berkembang pesat, keamanan selalu menjadi faktor utama yang perlu dipertimbangkan.