Análise do incidente de ataque de empréstimo flash da Cellframe Network
No dia 1 de junho de 2023, às 10h07min55s (UTC+8), a Cellframe Network foi alvo de um ataque de hackers devido a um problema de cálculo da quantidade de tokens durante o processo de migração de liquidez em uma determinada cadeia inteligente. Este ataque resultou em um lucro de aproximadamente 76,112 dólares para os hackers.
Detalhes do ataque
O atacante primeiro obteve 1000 tokens nativos de uma determinada cadeia e 500000 tokens New Cell através de um Empréstimo Flash. Em seguida, o atacante trocou todos os tokens New Cell por tokens nativos, fazendo com que a quantidade de tokens nativos na pool de liquidez ficasse quase zero. Por fim, o atacante trocou 900 tokens nativos por tokens Old Cell.
É importante notar que, antes de iniciar o ataque, o atacante adicionou liquidez ao Old Cell e ao token nativo, obtendo assim os tokens Old LP.
Processo de Ataque
O atacante chama a função de migração de liquidez. Neste momento, quase não há tokens nativos no novo pool, e quase não há tokens Old Cell no pool antigo.
O processo de migração inclui: remover a antiga liquidez e devolver a quantidade correspondente de tokens aos usuários; depois, adicionar nova liquidez de acordo com a nova proporção do pool.
Devido à quase inexistência de tokens Old Cell na pool antiga, a quantidade de tokens nativos recebidos ao remover liquidez aumenta, enquanto a quantidade de tokens Old Cell diminui.
O usuário só precisa adicionar uma pequena quantidade de tokens nativos e tokens New Cell para obter liquidez, os tokens nativos em excesso e os tokens Old Cell são devolvidos ao usuário.
O atacante em seguida remove a liquidez do novo pool e troca os tokens Old Cell devolvidos por tokens nativos.
Neste momento, há uma grande quantidade de tokens Old Cell no antigo pool, mas quase nenhum token nativo, o atacante irá trocar os tokens Old Cell de volta por tokens nativos, completando o lucro.
O atacante repete a operação de migração, lucrando continuamente.
Avisos de Segurança
Ao realizar a migração de liquidez, deve-se considerar de forma abrangente as mudanças na quantidade de dois tokens nos antigos e novos pools, bem como os preços atuais dos tokens. Usar diretamente a quantidade dos dois tipos de moeda no par de negociação para cálculos é suscetível a manipulação.
Antes do lançamento do código, deve ser realizada uma auditoria de segurança abrangente e rigorosa para identificar e corrigir vulnerabilidades potenciais.
As partes do projeto devem acompanhar de perto as atividades anômalas na cadeia e tomar medidas rapidamente para prevenir ataques potenciais.
Os utilizadores devem ser cautelosos ao participar em novos projetos, especialmente quando se trata de operações com grandes quantias de dinheiro.
Este incidente destaca novamente os desafios de segurança que os projetos DeFi enfrentam no processo de design e implementação, e nos lembra que, no rapidamente evolutivo campo do Web3, a segurança deve ser sempre a principal consideração.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
7 gostos
Recompensa
7
3
Partilhar
Comentar
0/400
liquiditea_sipper
· 08-04 10:25
Outra onda de Empréstimos Flash de Arbitragem, profissionais!
Ver originalResponder0
GateUser-beba108d
· 08-04 10:19
Hehe, o custo dos Empréstimos Flash é muito baixo.
A Cellframe Network sofreu um ataque de empréstimo flash, com o hacker lucrando 76 mil dólares.
Análise do incidente de ataque de empréstimo flash da Cellframe Network
No dia 1 de junho de 2023, às 10h07min55s (UTC+8), a Cellframe Network foi alvo de um ataque de hackers devido a um problema de cálculo da quantidade de tokens durante o processo de migração de liquidez em uma determinada cadeia inteligente. Este ataque resultou em um lucro de aproximadamente 76,112 dólares para os hackers.
Detalhes do ataque
O atacante primeiro obteve 1000 tokens nativos de uma determinada cadeia e 500000 tokens New Cell através de um Empréstimo Flash. Em seguida, o atacante trocou todos os tokens New Cell por tokens nativos, fazendo com que a quantidade de tokens nativos na pool de liquidez ficasse quase zero. Por fim, o atacante trocou 900 tokens nativos por tokens Old Cell.
É importante notar que, antes de iniciar o ataque, o atacante adicionou liquidez ao Old Cell e ao token nativo, obtendo assim os tokens Old LP.
Processo de Ataque
O atacante chama a função de migração de liquidez. Neste momento, quase não há tokens nativos no novo pool, e quase não há tokens Old Cell no pool antigo.
O processo de migração inclui: remover a antiga liquidez e devolver a quantidade correspondente de tokens aos usuários; depois, adicionar nova liquidez de acordo com a nova proporção do pool.
Devido à quase inexistência de tokens Old Cell na pool antiga, a quantidade de tokens nativos recebidos ao remover liquidez aumenta, enquanto a quantidade de tokens Old Cell diminui.
O usuário só precisa adicionar uma pequena quantidade de tokens nativos e tokens New Cell para obter liquidez, os tokens nativos em excesso e os tokens Old Cell são devolvidos ao usuário.
O atacante em seguida remove a liquidez do novo pool e troca os tokens Old Cell devolvidos por tokens nativos.
Neste momento, há uma grande quantidade de tokens Old Cell no antigo pool, mas quase nenhum token nativo, o atacante irá trocar os tokens Old Cell de volta por tokens nativos, completando o lucro.
O atacante repete a operação de migração, lucrando continuamente.
Avisos de Segurança
Ao realizar a migração de liquidez, deve-se considerar de forma abrangente as mudanças na quantidade de dois tokens nos antigos e novos pools, bem como os preços atuais dos tokens. Usar diretamente a quantidade dos dois tipos de moeda no par de negociação para cálculos é suscetível a manipulação.
Antes do lançamento do código, deve ser realizada uma auditoria de segurança abrangente e rigorosa para identificar e corrigir vulnerabilidades potenciais.
As partes do projeto devem acompanhar de perto as atividades anômalas na cadeia e tomar medidas rapidamente para prevenir ataques potenciais.
Os utilizadores devem ser cautelosos ao participar em novos projetos, especialmente quando se trata de operações com grandes quantias de dinheiro.
Este incidente destaca novamente os desafios de segurança que os projetos DeFi enfrentam no processo de design e implementação, e nos lembra que, no rapidamente evolutivo campo do Web3, a segurança deve ser sempre a principal consideração.