Аналіз події атаки на Cellframe Network через міграцію ліквідності
1 червня 2023 року о 10:07:55 (UTC+8) Cellframe Network зазнав хакерської атаки на певному смарт-ланцюзі через проблеми з розрахунком кількості токенів під час процесу міграції ліквідності. Ця атака призвела до прибутку хакера приблизно 76112 доларів.
Аналіз подій
Зловмисники скористалися обчислювальним вразливістю під час міграції ліквідності. Процес атаки виглядає наступним чином:
Атакуючий спочатку отримує велику кількість коштів через кредитування, включаючи 1000 рідних токенів певного ланцюга та 500000 токенів New Cell.
Обміняти всі токени New Cell на рідні токени певного ланцюга, що призводить до того, що кількість рідних токенів певного ланцюга в пулі наближається до нуля.
Обміняти 900 певних рідних токенів ланцюга на токени Old Cell.
Перед атакою зловмисник додав Old Cell та ліквідність рідного токена певного ланцюга, отримавши Old lp.
Викликати функцію міграції ліквідності. На цей момент у новому пулі майже немає рідного токена певного ланцюга, у старому пулі майже немає токенів Old Cell.
Процес міграції включає:
Видалити стару Ліквідність, повернути токени користувачам
Додати нову ліквідність відповідно до нового співвідношення пулу
Оскільки токенів Old Cell у старому пулі мало, кількість нативних токенів певного блокчейну, які отримуються при видаленні ліквідності, зростає, тоді як кількість токенів Old Cell зменшується. Це призводить до того, що користувачам потрібно додати лише невелику кількість певних нативних токенів блокчейну та токенів New Cell, щоб отримати ліквідність, а надлишкові певні нативні токени блокчейну та токени Old Cell повертаються користувачам.
Зловмисник видаляє ліквідність нового пулу, обмінюючи повернені токени Old Cell на рідний токен певного ланцюга.
У цей час у старому пулі Old Cell токенів достатньо, але бракує певного рідного токена мережі, зловмисник знову обмінює токени Old Cell на певний рідний токен мережі для отримання прибутку.
Повторно виконайте операцію міграції.
Підсумок та рекомендації
При міграції ліквідності слід комплексно враховувати зміни в кількості обох токенів у старому та новому пулах, а також поточну ціну токенів. Прямий розрахунок на основі кількості обох токенів у торговій парі легко піддається маніпуляціям.
Крім того, команда проекту повинна провести всебічний аудит безпеки перед запуском коду, щоб запобігти появі подібних уразливостей. Ця подія ще раз підкреслила важливість проведення всебічної перевірки безпеки в Web3 проектах, особливо коли йдеться про складні фінансові операції.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
7
Репост
Поділіться
Прокоментувати
0/400
BakedCatFanboy
· 07-08 03:28
7w також сміє називати це атакою?
Переглянути оригіналвідповісти на0
OptionWhisperer
· 07-07 13:57
Безкоштовні кошти шахрайство, справді є дотепність.
Переглянути оригіналвідповісти на0
CryptoWageSlave
· 07-07 03:51
Безпека — це жарт.
Переглянути оригіналвідповісти на0
CoconutWaterBoy
· 07-05 04:09
Обман для дурнів обдурювати людей, як лохів?
Переглянути оригіналвідповісти на0
LuckyBearDrawer
· 07-05 04:00
Цей хакер настільки непрофесійний, що навіть сто тисяч доларів не зміг отримати.
Cellframe Network зазнав атаки на міграцію Ліквідності, Хакер отримав прибуток у 76 тисяч доларів США.
Аналіз події атаки на Cellframe Network через міграцію ліквідності
1 червня 2023 року о 10:07:55 (UTC+8) Cellframe Network зазнав хакерської атаки на певному смарт-ланцюзі через проблеми з розрахунком кількості токенів під час процесу міграції ліквідності. Ця атака призвела до прибутку хакера приблизно 76112 доларів.
Аналіз подій
Зловмисники скористалися обчислювальним вразливістю під час міграції ліквідності. Процес атаки виглядає наступним чином:
Процес міграції включає:
Оскільки токенів Old Cell у старому пулі мало, кількість нативних токенів певного блокчейну, які отримуються при видаленні ліквідності, зростає, тоді як кількість токенів Old Cell зменшується. Це призводить до того, що користувачам потрібно додати лише невелику кількість певних нативних токенів блокчейну та токенів New Cell, щоб отримати ліквідність, а надлишкові певні нативні токени блокчейну та токени Old Cell повертаються користувачам.
Підсумок та рекомендації
При міграції ліквідності слід комплексно враховувати зміни в кількості обох токенів у старому та новому пулах, а також поточну ціну токенів. Прямий розрахунок на основі кількості обох токенів у торговій парі легко піддається маніпуляціям.
Крім того, команда проекту повинна провести всебічний аудит безпеки перед запуском коду, щоб запобігти появі подібних уразливостей. Ця подія ще раз підкреслила важливість проведення всебічної перевірки безпеки в Web3 проектах, особливо коли йдеться про складні фінансові операції.