Analyse des événements d'attaque de Prêts Flash sur le réseau Cellframe
Le 1er juin 2023 à 10h07min55s (UTC+8), Cellframe Network a été victime d'une attaque de hacker sur une plateforme de blockchain en raison d'un problème de calcul du nombre de tokens lors du processus de migration de liquidité. Cette attaque a permis aux hackers de réaliser un profit d'environ 76 112 $.
Détails de l'attaque
L'attaquant a d'abord obtenu 1000 jetons natifs d'une plateforme de chaîne intelligente et 500 000 jetons New Cell via des Prêts Flash. Ensuite, ils ont échangé tous les jetons New Cell contre des jetons natifs de la plateforme, ce qui a conduit à une quantité de jetons natifs dans la piscine de liquidité proche de zéro. Enfin, l'attaquant a échangé 900 jetons natifs contre des jetons Old Cell.
Il est important de noter que l'attaquant a ajouté de la liquidité pour Old Cell et le jeton natif avant de mener l'attaque, obtenant ainsi des jetons lp Old.
Processus d'attaque
L'attaquant appelle la fonction de migration de liquidité. À ce stade, il y a presque pas de jetons natifs dans le nouveau pool, tandis qu'il y a presque pas de jetons Old Cell dans l'ancien pool.
Le processus de migration comprend : retirer l'ancienne liquidité et retourner le nombre correspondant de jetons aux utilisateurs ; ajouter la nouvelle liquidité selon le ratio du nouveau pool.
En raison de l'absence presque totale de tokens Old Cell dans l'ancienne piscine, le nombre de tokens natifs obtenus lors du retrait de liquidité augmente, tandis que le nombre de tokens Old Cell diminue.
L'utilisateur n'a besoin d'ajouter qu'une petite quantité de jetons natifs et de jetons New Cell pour obtenir de la liquidité, les jetons natifs supplémentaires et les jetons Old Cell seront renvoyés à l'utilisateur.
L'attaquant retire la liquidité du nouveau pool et échange les jetons Old Cell retournés lors de la migration contre des jetons natifs.
À ce stade, il y a une grande quantité de jetons Old Cell dans l'ancien fonds, mais pas de jetons natifs. L'attaquant échange les jetons Old Cell en jetons natifs, réalisant ainsi un bénéfice.
L'attaquant répète l'opération de migration pour réaliser des profits supplémentaires.
Résumé et recommandations
Cette attaque a révélé un problème clé lors de la migration de la liquidité : il est facile de manipuler les calculs en utilisant directement les quantités des deux tokens dans la paire de trading. Pour prévenir des attaques similaires, les développeurs devraient :
Prendre en compte l'évolution des quantités des deux types de jetons dans les anciens et nouveaux pools.
Inclure le prix actuel des jetons dans le champ de calcul.
Effectuer un audit de sécurité complet avant le déploiement du code.
Cet événement souligne à nouveau l'importance de la sécurité et de l'audit des codes dans le domaine de la finance décentralisée. Les équipes de projet devraient concevoir et mettre en œuvre des fonctionnalités clés avec plus de prudence, en particulier celles impliquant des flux de fonds. En même temps, les utilisateurs devraient également être conscients des risques potentiels liés à la participation à de nouveaux projets et prendre des mesures de prévention appropriées.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Cellframe Network a subi une attaque par prêts flash, le hacker a réalisé un arbitrage de 76 000 dollars.
Analyse des événements d'attaque de Prêts Flash sur le réseau Cellframe
Le 1er juin 2023 à 10h07min55s (UTC+8), Cellframe Network a été victime d'une attaque de hacker sur une plateforme de blockchain en raison d'un problème de calcul du nombre de tokens lors du processus de migration de liquidité. Cette attaque a permis aux hackers de réaliser un profit d'environ 76 112 $.
Détails de l'attaque
L'attaquant a d'abord obtenu 1000 jetons natifs d'une plateforme de chaîne intelligente et 500 000 jetons New Cell via des Prêts Flash. Ensuite, ils ont échangé tous les jetons New Cell contre des jetons natifs de la plateforme, ce qui a conduit à une quantité de jetons natifs dans la piscine de liquidité proche de zéro. Enfin, l'attaquant a échangé 900 jetons natifs contre des jetons Old Cell.
Il est important de noter que l'attaquant a ajouté de la liquidité pour Old Cell et le jeton natif avant de mener l'attaque, obtenant ainsi des jetons lp Old.
Processus d'attaque
L'attaquant appelle la fonction de migration de liquidité. À ce stade, il y a presque pas de jetons natifs dans le nouveau pool, tandis qu'il y a presque pas de jetons Old Cell dans l'ancien pool.
Le processus de migration comprend : retirer l'ancienne liquidité et retourner le nombre correspondant de jetons aux utilisateurs ; ajouter la nouvelle liquidité selon le ratio du nouveau pool.
En raison de l'absence presque totale de tokens Old Cell dans l'ancienne piscine, le nombre de tokens natifs obtenus lors du retrait de liquidité augmente, tandis que le nombre de tokens Old Cell diminue.
L'utilisateur n'a besoin d'ajouter qu'une petite quantité de jetons natifs et de jetons New Cell pour obtenir de la liquidité, les jetons natifs supplémentaires et les jetons Old Cell seront renvoyés à l'utilisateur.
L'attaquant retire la liquidité du nouveau pool et échange les jetons Old Cell retournés lors de la migration contre des jetons natifs.
À ce stade, il y a une grande quantité de jetons Old Cell dans l'ancien fonds, mais pas de jetons natifs. L'attaquant échange les jetons Old Cell en jetons natifs, réalisant ainsi un bénéfice.
L'attaquant répète l'opération de migration pour réaliser des profits supplémentaires.
Résumé et recommandations
Cette attaque a révélé un problème clé lors de la migration de la liquidité : il est facile de manipuler les calculs en utilisant directement les quantités des deux tokens dans la paire de trading. Pour prévenir des attaques similaires, les développeurs devraient :
Cet événement souligne à nouveau l'importance de la sécurité et de l'audit des codes dans le domaine de la finance décentralisée. Les équipes de projet devraient concevoir et mettre en œuvre des fonctionnalités clés avec plus de prudence, en particulier celles impliquant des flux de fonds. En même temps, les utilisateurs devraient également être conscients des risques potentiels liés à la participation à de nouveaux projets et prendre des mesures de prévention appropriées.