Cellframe Network flaş kredi saldırısı olayı analizi
2023年6月1日10时07分55秒(UTC+8),Cellframe Network某 akıllı zincir üzerinde likidite göçü sürecindeki token sayımı sorunundan dolayı siber saldırıya uğradı. Bu saldırı sonucunda hacker yaklaşık 76,112 dolar kazanç elde etti.
Saldırı Detayları
Saldırgan önce Flaş Krediler aracılığıyla 1000 adet bir blockchain'e ait yerel token ve 500000 adet New Cell token aldı. Ardından, saldırgan tüm New Cell token'larını yerel token'a dönüştürdü ve bu, likidite havuzundaki yerel token miktarının sıfıra yakın olmasına yol açtı. Son olarak, saldırgan 900 adet yerel token'ı Old Cell token ile değiştirdi.
Dikkat edilmesi gereken bir nokta, saldırganların saldırıyı başlatmadan önce Old Cell ve yerel tokenin likiditesini ekleyerek Old LP tokenini elde etmiş olmalarıdır.
Saldırı Süreci
Saldırgan, likidite taşıma fonksiyonunu çağırır. Bu aşamada, yeni havuzda neredeyse hiç yerel token yoktur, eski havuzda ise neredeyse hiç Old Cell token yoktur.
Göç süreci şunları içerir: Eski likiditenin kaldırılması ve kullanıcılara ilgili miktarda tokenin geri verilmesi; ardından yeni havuz oranına göre yeni likiditenin eklenmesi.
Eski havuzda neredeyse hiç Old Cell tokeni olmadığı için, likidite kaldırıldığında alınan yerel token sayısı artar, Old Cell tokeni sayısı ise azalır.
Kullanıcı yalnızca az miktarda yerel token ve New Cell token ekleyerek likidite elde edebilir, fazla yerel token ve Old Cell token kullanıcıya iade edilir.
Saldırgan daha sonra yeni havuzun likiditesini kaldırır ve göç eden eski hücre tokenlerini yerel tokenlere çevirir.
Bu aşamada, eski havuzda çok sayıda Old Cell tokeni varken neredeyse hiç yerel token yoktu, saldırgan Old Cell tokenlerini yerel tokenlere geri dönüştürdü ve kar elde etti.
Saldırgan, göç işlemlerini tekrarlayarak sürekli kazanç elde ediyor.
Güvenlik İpuçları
Likidite göçü gerçekleştirirken, yeni ve eski havuzdaki iki tokenin miktarındaki değişiklikleri ve mevcut token fiyatını kapsamlı bir şekilde değerlendirmek gerekir. İşlem çiftindeki iki varlığın miktarını doğrudan kullanarak hesaplama yapmak kolayca manipüle edilebilir.
Kodun yayına alınmadan önce, potansiyel açıkları bulmak ve düzeltmek için kapsamlı ve titiz bir güvenlik denetimi yapılmalıdır.
Proje tarafı, zincir üzerindeki anormal etkinlikleri yakından takip etmeli ve potansiyel saldırıları önlemek için zamanında önlemler almalıdır.
Kullanıcılar yeni projelere katılırken dikkatli olmalıdır, özellikle büyük miktarda para işlemleri söz konusu olduğunda daha da dikkatli olmalıdır.
Bu olay, DeFi projelerinin tasarım ve uygulama sürecinde karşılaştığı güvenlik zorluklarını bir kez daha vurguluyor ve hızla gelişen Web3 alanında güvenliğin her zaman birincil öncelik olduğunu hatırlatıyor.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Cellframe Network flaş kredi saldırısı ile 7.6 bin dolar kazandı.
Cellframe Network flaş kredi saldırısı olayı analizi
2023年6月1日10时07分55秒(UTC+8),Cellframe Network某 akıllı zincir üzerinde likidite göçü sürecindeki token sayımı sorunundan dolayı siber saldırıya uğradı. Bu saldırı sonucunda hacker yaklaşık 76,112 dolar kazanç elde etti.
Saldırı Detayları
Saldırgan önce Flaş Krediler aracılığıyla 1000 adet bir blockchain'e ait yerel token ve 500000 adet New Cell token aldı. Ardından, saldırgan tüm New Cell token'larını yerel token'a dönüştürdü ve bu, likidite havuzundaki yerel token miktarının sıfıra yakın olmasına yol açtı. Son olarak, saldırgan 900 adet yerel token'ı Old Cell token ile değiştirdi.
Dikkat edilmesi gereken bir nokta, saldırganların saldırıyı başlatmadan önce Old Cell ve yerel tokenin likiditesini ekleyerek Old LP tokenini elde etmiş olmalarıdır.
Saldırı Süreci
Saldırgan, likidite taşıma fonksiyonunu çağırır. Bu aşamada, yeni havuzda neredeyse hiç yerel token yoktur, eski havuzda ise neredeyse hiç Old Cell token yoktur.
Göç süreci şunları içerir: Eski likiditenin kaldırılması ve kullanıcılara ilgili miktarda tokenin geri verilmesi; ardından yeni havuz oranına göre yeni likiditenin eklenmesi.
Eski havuzda neredeyse hiç Old Cell tokeni olmadığı için, likidite kaldırıldığında alınan yerel token sayısı artar, Old Cell tokeni sayısı ise azalır.
Kullanıcı yalnızca az miktarda yerel token ve New Cell token ekleyerek likidite elde edebilir, fazla yerel token ve Old Cell token kullanıcıya iade edilir.
Saldırgan daha sonra yeni havuzun likiditesini kaldırır ve göç eden eski hücre tokenlerini yerel tokenlere çevirir.
Bu aşamada, eski havuzda çok sayıda Old Cell tokeni varken neredeyse hiç yerel token yoktu, saldırgan Old Cell tokenlerini yerel tokenlere geri dönüştürdü ve kar elde etti.
Saldırgan, göç işlemlerini tekrarlayarak sürekli kazanç elde ediyor.
Güvenlik İpuçları
Likidite göçü gerçekleştirirken, yeni ve eski havuzdaki iki tokenin miktarındaki değişiklikleri ve mevcut token fiyatını kapsamlı bir şekilde değerlendirmek gerekir. İşlem çiftindeki iki varlığın miktarını doğrudan kullanarak hesaplama yapmak kolayca manipüle edilebilir.
Kodun yayına alınmadan önce, potansiyel açıkları bulmak ve düzeltmek için kapsamlı ve titiz bir güvenlik denetimi yapılmalıdır.
Proje tarafı, zincir üzerindeki anormal etkinlikleri yakından takip etmeli ve potansiyel saldırıları önlemek için zamanında önlemler almalıdır.
Kullanıcılar yeni projelere katılırken dikkatli olmalıdır, özellikle büyük miktarda para işlemleri söz konusu olduğunda daha da dikkatli olmalıdır.
Bu olay, DeFi projelerinin tasarım ve uygulama sürecinde karşılaştığı güvenlik zorluklarını bir kez daha vurguluyor ve hızla gelişen Web3 alanında güvenliğin her zaman birincil öncelik olduğunu hatırlatıyor.