Análisis del incidente de ataque de flash loan de Cellframe Network
El 1 de junio de 2023 a las 10:07:55 (UTC+8), Cellframe Network fue atacado por hackers en una plataforma de cadena inteligente debido a un problema en el cálculo de la cantidad de tokens durante el proceso de migración de liquidez. Este ataque resultó en ganancias de aproximadamente 76,112 dólares para los hackers.
Detalles del ataque
El atacante primero obtuvo 1000 tokens nativos de una plataforma de cadena inteligente y 500000 tokens New Cell a través de Flash Loans. Luego, intercambiaron todos los tokens New Cell por tokens nativos de la plataforma, lo que llevó la cantidad de tokens nativos en el fondo de liquidez a casi cero. Finalmente, el atacante intercambió 900 tokens nativos por tokens Old Cell.
Cabe destacar que el atacante agregó liquidez de Old Cell y tokens nativos antes de llevar a cabo el ataque, obteniendo tokens lp de Old.
Proceso de ataque
El atacante llama a la función de migración de liquidez. En este momento, casi no hay tokens nativos en la nueva piscina, mientras que en la piscina antigua casi no hay tokens Old Cell.
El proceso de migración incluye: eliminar la antigua liquidez y devolver la cantidad correspondiente de tokens a los usuarios; añadir nueva liquidez de acuerdo con la proporción del nuevo fondo.
Debido a que en el antiguo fondo casi no hay tokens Old Cell, la cantidad de tokens nativos obtenidos al eliminar la liquidez aumenta, mientras que la cantidad de tokens Old Cell disminuye.
Los usuarios solo necesitan agregar una pequeña cantidad de tokens nativos y tokens New Cell para obtener liquidez; los tokens nativos adicionales y los tokens Old Cell se devolverán al usuario.
El atacante elimina la liquidez del nuevo pool y convierte los tokens Old Cell devueltos en tokens nativos.
En este momento, hay una gran cantidad de tokens Old Cell en el viejo fondo, pero no hay tokens nativos. El atacante vuelve a intercambiar los tokens Old Cell por tokens nativos, completando así la ganancia.
El atacante repite la operación de migración para obtener más ganancias.
Resumen y recomendaciones
Este ataque expuso un problema clave al migrar la liquidez: calcular directamente utilizando la cantidad de los dos tokens en el par puede ser fácilmente manipulado. Para prevenir ataques similares, los desarrolladores al diseñar el mecanismo de migración de liquidez deben:
Considerar de manera integral los cambios en la cantidad de dos tipos de tokens en los nuevos y viejos fondos.
Incluir el precio actual del token en el cálculo.
Realizar una auditoría de seguridad completa antes de lanzar el código.
Este evento destaca nuevamente la importancia de la seguridad y la auditoría de código en el ámbito de las finanzas descentralizadas. Los desarrolladores de proyectos deben ser más cautelosos al diseñar e implementar funciones clave, especialmente aquellas relacionadas con el flujo de fondos. Al mismo tiempo, los usuarios también deben ser conscientes de los riesgos que pueden enfrentar al participar en nuevos proyectos y tomar las medidas de prevención adecuadas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Cellframe Network sufrió un ataque de flash loan, un hacker hizo arbitraje de 76,000 dólares.
Análisis del incidente de ataque de flash loan de Cellframe Network
El 1 de junio de 2023 a las 10:07:55 (UTC+8), Cellframe Network fue atacado por hackers en una plataforma de cadena inteligente debido a un problema en el cálculo de la cantidad de tokens durante el proceso de migración de liquidez. Este ataque resultó en ganancias de aproximadamente 76,112 dólares para los hackers.
Detalles del ataque
El atacante primero obtuvo 1000 tokens nativos de una plataforma de cadena inteligente y 500000 tokens New Cell a través de Flash Loans. Luego, intercambiaron todos los tokens New Cell por tokens nativos de la plataforma, lo que llevó la cantidad de tokens nativos en el fondo de liquidez a casi cero. Finalmente, el atacante intercambió 900 tokens nativos por tokens Old Cell.
Cabe destacar que el atacante agregó liquidez de Old Cell y tokens nativos antes de llevar a cabo el ataque, obteniendo tokens lp de Old.
Proceso de ataque
El atacante llama a la función de migración de liquidez. En este momento, casi no hay tokens nativos en la nueva piscina, mientras que en la piscina antigua casi no hay tokens Old Cell.
El proceso de migración incluye: eliminar la antigua liquidez y devolver la cantidad correspondiente de tokens a los usuarios; añadir nueva liquidez de acuerdo con la proporción del nuevo fondo.
Debido a que en el antiguo fondo casi no hay tokens Old Cell, la cantidad de tokens nativos obtenidos al eliminar la liquidez aumenta, mientras que la cantidad de tokens Old Cell disminuye.
Los usuarios solo necesitan agregar una pequeña cantidad de tokens nativos y tokens New Cell para obtener liquidez; los tokens nativos adicionales y los tokens Old Cell se devolverán al usuario.
El atacante elimina la liquidez del nuevo pool y convierte los tokens Old Cell devueltos en tokens nativos.
En este momento, hay una gran cantidad de tokens Old Cell en el viejo fondo, pero no hay tokens nativos. El atacante vuelve a intercambiar los tokens Old Cell por tokens nativos, completando así la ganancia.
El atacante repite la operación de migración para obtener más ganancias.
Resumen y recomendaciones
Este ataque expuso un problema clave al migrar la liquidez: calcular directamente utilizando la cantidad de los dos tokens en el par puede ser fácilmente manipulado. Para prevenir ataques similares, los desarrolladores al diseñar el mecanismo de migración de liquidez deben:
Este evento destaca nuevamente la importancia de la seguridad y la auditoría de código en el ámbito de las finanzas descentralizadas. Los desarrolladores de proyectos deben ser más cautelosos al diseñar e implementar funciones clave, especialmente aquellas relacionadas con el flujo de fondos. Al mismo tiempo, los usuarios también deben ser conscientes de los riesgos que pueden enfrentar al participar en nuevos proyectos y tomar las medidas de prevención adecuadas.