- Tópico
74k Popularidade
29k Popularidade
9k Popularidade
4k Popularidade
4k Popularidade
29k Popularidade
16k Popularidade
22k Popularidade
12k Popularidade
2k Popularidade
- Pino
74k Popularidade
29k Popularidade
9k Popularidade
4k Popularidade
4k Popularidade
29k Popularidade
16k Popularidade
22k Popularidade
12k Popularidade
2k Popularidade
A Cellframe Network foi alvo de ataque de empréstimo flash, e o hacker obteve um lucro de 76 mil dólares.
Análise do incidente de ataque de empréstimo flash da Cellframe Network
No dia 1 de junho de 2023, às 10h07min55s (UTC+8), a Cellframe Network foi alvo de um ataque hacker em uma determinada blockchain devido a um problema de cálculo da quantidade de tokens durante o processo de migração de liquidez. Sabe-se que o hacker obteve um lucro de 76.112 dólares com este ataque.
Análise do processo de ataque
O atacante primeiro obteve 1000 tokens nativos de uma determinada cadeia inteligente e 500000 tokens New Cell através de um empréstimo flash. Em seguida, o atacante trocou todos os tokens New Cell por tokens nativos, fazendo com que a quantidade de tokens nativos na pool de liquidez ficasse próxima de zero. Finalmente, o atacante trocou 900 tokens nativos por tokens Old Cell.
É importante notar que os atacantes adicionaram liquidez de Old Cell e de tokens nativos antes de iniciar o ataque, obtendo os tokens Old lp.
Em seguida, o atacante chamou a função de migração de liquidez. Neste momento, quase não havia tokens nativos no novo pool, enquanto no pool antigo quase não havia tokens Old Cell. O processo de migração inclui os seguintes passos:
Devido à quase inexistência de tokens Old Cell no antigo pool, o número de tokens nativos obtidos ao remover liquidez aumenta, enquanto o número de tokens Old Cell diminui. Isso leva os usuários a precisarem adicionar apenas uma pequena quantidade de tokens nativos e tokens New Cell para obter liquidez, com os tokens nativos em excesso e os tokens Old Cell sendo devolvidos aos usuários.
Por fim, o atacante retira a liquidez do novo pool e troca os tokens Old Cell retornados por tokens nativos. Neste ponto, há uma grande quantidade de tokens Old Cell no pool antigo, mas nenhum token nativo, e o atacante troca os tokens Old Cell de volta por tokens nativos, completando assim o lucro. O atacante então repete a operação de migração, ampliando ainda mais os lucros.
Causa Raiz do Ataque
A razão fundamental para este ataque reside em um problema de cálculo durante o processo de migração de liquidez. Ao migrar a liquidez, a equipe do projeto calcula diretamente a quantidade de duas moedas do par de negociação, e esse método pode ser facilmente manipulado por atacantes.
Sugestões de Segurança
Ao migrar a liquidez, deve-se considerar de forma abrangente a variação na quantidade das duas moedas nos antigos e novos pools, bem como o preço atual das moedas, em vez de simplesmente calcular a quantidade de moedas.
Antes da implementação do código, deve ser realizada uma auditoria de segurança abrangente para identificar e corrigir vulnerabilidades potenciais.
Este incidente lembra-nos novamente que, ao projetar e implementar operações financeiras complexas, é necessário ter um cuidado especial com a segurança e robustez, a fim de prevenir a exploração de potenciais ataques e vulnerabilidades.