Phân tích sự kiện Cellframe Network bị cuộc tấn công cho vay chớp nhoáng
Vào lúc 10 giờ 07 phút 55 giây ngày 1 tháng 6 năm 2023 (UTC+8), Mạng Cellframe đã bị tấn công bởi hacker do vấn đề tính toán số lượng token trong quá trình di chuyển thanh khoản trên một chuỗi thông minh. Cuộc tấn công này đã khiến hacker thu lợi khoảng 76,112 đô la.
Chi tiết cuộc tấn công
Kẻ tấn công trước tiên đã sử dụng Khoản vay nhanh để lấy 1000 token gốc của một chuỗi nào đó và 500000 token New Cell. Sau đó, kẻ tấn công đã đổi tất cả token New Cell thành token gốc, khiến số lượng token gốc trong bể thanh khoản gần như bằng không. Cuối cùng, kẻ tấn công đã đổi 900 token gốc lấy token Old Cell.
Đáng chú ý là, trước khi tiến hành cuộc tấn công, kẻ tấn công đã thêm tính thanh khoản của Old Cell và token gốc, nhận được Old LP token.
Quy trình tấn công
Kẻ tấn công gọi hàm di chuyển thanh khoản. Lúc này, bể mới gần như không có token gốc, bể cũ gần như không có token Old Cell.
Quá trình di chuyển bao gồm: loại bỏ thanh khoản cũ và hoàn trả số lượng token tương ứng cho người dùng; sau đó thêm thanh khoản mới theo tỷ lệ của bể mới.
Do trong bể cũ hầu như không có token Old Cell, số lượng token gốc nhận được khi loại bỏ tính thanh khoản sẽ tăng lên, trong khi số lượng token Old Cell sẽ giảm.
Người dùng chỉ cần thêm một lượng nhỏ token gốc và token New Cell để có được tính thanh khoản, phần token gốc dư thừa và token Old Cell sẽ được hoàn trả cho người dùng.
Kẻ tấn công sau đó loại bỏ tính thanh khoản của bể mới và chuyển đổi các token Old Cell được di chuyển trở lại thành token gốc.
Lúc này, trong bể cũ có rất nhiều mã thông báo Old Cell nhưng gần như không có mã thông báo gốc, kẻ tấn công sẽ đổi lại mã thông báo Old Cell thành mã thông báo gốc, hoàn thành việc kiếm lời.
Kẻ tấn công thực hiện các thao tác di chuyển lặp đi lặp lại, liên tục thu lợi.
Những lời khuyên về an toàn
Khi tiến hành di chuyển tính thanh khoản, cần xem xét toàn diện sự thay đổi số lượng hai loại token trong các pool cũ và mới cũng như giá token hiện tại. Việc trực tiếp sử dụng số lượng của hai loại tiền tệ trong cặp giao dịch để tính toán dễ bị thao túng.
Trước khi mã được triển khai, cần thực hiện kiểm toán an ninh toàn diện và nghiêm ngặt để phát hiện và khắc phục các lỗ hổng tiềm ẩn.
Các dự án nên theo dõi chặt chẽ các hoạt động bất thường trên chuỗi và kịp thời thực hiện các biện pháp để ngăn chặn các cuộc tấn công tiềm ẩn.
Người dùng nên giữ sự cẩn trọng khi tham gia các dự án mới, đặc biệt là trong các thao tác liên quan đến số tiền lớn.
Sự kiện này một lần nữa làm nổi bật những thách thức về an ninh mà các dự án DeFi phải đối mặt trong quá trình thiết kế và thực hiện, đồng thời nhắc nhở chúng ta rằng trong lĩnh vực Web3 đang phát triển nhanh chóng, an ninh luôn là yếu tố quan trọng hàng đầu.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
7 thích
Phần thưởng
7
3
Chia sẻ
Bình luận
0/400
liquiditea_sipper
· 08-04 10:25
Một đợt kinh doanh chênh lệch giá khoản vay nhanh nữa, chuyên gia à
Cellframe Network遭cuộc tấn công cho vay chớp nhoáng Hacker获利7.6万美元
Phân tích sự kiện Cellframe Network bị cuộc tấn công cho vay chớp nhoáng
Vào lúc 10 giờ 07 phút 55 giây ngày 1 tháng 6 năm 2023 (UTC+8), Mạng Cellframe đã bị tấn công bởi hacker do vấn đề tính toán số lượng token trong quá trình di chuyển thanh khoản trên một chuỗi thông minh. Cuộc tấn công này đã khiến hacker thu lợi khoảng 76,112 đô la.
Chi tiết cuộc tấn công
Kẻ tấn công trước tiên đã sử dụng Khoản vay nhanh để lấy 1000 token gốc của một chuỗi nào đó và 500000 token New Cell. Sau đó, kẻ tấn công đã đổi tất cả token New Cell thành token gốc, khiến số lượng token gốc trong bể thanh khoản gần như bằng không. Cuối cùng, kẻ tấn công đã đổi 900 token gốc lấy token Old Cell.
Đáng chú ý là, trước khi tiến hành cuộc tấn công, kẻ tấn công đã thêm tính thanh khoản của Old Cell và token gốc, nhận được Old LP token.
Quy trình tấn công
Kẻ tấn công gọi hàm di chuyển thanh khoản. Lúc này, bể mới gần như không có token gốc, bể cũ gần như không có token Old Cell.
Quá trình di chuyển bao gồm: loại bỏ thanh khoản cũ và hoàn trả số lượng token tương ứng cho người dùng; sau đó thêm thanh khoản mới theo tỷ lệ của bể mới.
Do trong bể cũ hầu như không có token Old Cell, số lượng token gốc nhận được khi loại bỏ tính thanh khoản sẽ tăng lên, trong khi số lượng token Old Cell sẽ giảm.
Người dùng chỉ cần thêm một lượng nhỏ token gốc và token New Cell để có được tính thanh khoản, phần token gốc dư thừa và token Old Cell sẽ được hoàn trả cho người dùng.
Kẻ tấn công sau đó loại bỏ tính thanh khoản của bể mới và chuyển đổi các token Old Cell được di chuyển trở lại thành token gốc.
Lúc này, trong bể cũ có rất nhiều mã thông báo Old Cell nhưng gần như không có mã thông báo gốc, kẻ tấn công sẽ đổi lại mã thông báo Old Cell thành mã thông báo gốc, hoàn thành việc kiếm lời.
Kẻ tấn công thực hiện các thao tác di chuyển lặp đi lặp lại, liên tục thu lợi.
Những lời khuyên về an toàn
Khi tiến hành di chuyển tính thanh khoản, cần xem xét toàn diện sự thay đổi số lượng hai loại token trong các pool cũ và mới cũng như giá token hiện tại. Việc trực tiếp sử dụng số lượng của hai loại tiền tệ trong cặp giao dịch để tính toán dễ bị thao túng.
Trước khi mã được triển khai, cần thực hiện kiểm toán an ninh toàn diện và nghiêm ngặt để phát hiện và khắc phục các lỗ hổng tiềm ẩn.
Các dự án nên theo dõi chặt chẽ các hoạt động bất thường trên chuỗi và kịp thời thực hiện các biện pháp để ngăn chặn các cuộc tấn công tiềm ẩn.
Người dùng nên giữ sự cẩn trọng khi tham gia các dự án mới, đặc biệt là trong các thao tác liên quan đến số tiền lớn.
Sự kiện này một lần nữa làm nổi bật những thách thức về an ninh mà các dự án DeFi phải đối mặt trong quá trình thiết kế và thực hiện, đồng thời nhắc nhở chúng ta rằng trong lĩnh vực Web3 đang phát triển nhanh chóng, an ninh luôn là yếu tố quan trọng hàng đầu.