Analisis Insiden Serangan Pinjaman Flash pada Cellframe Network
Pada 1 Juni 2023 pukul 10:07:55 (UTC+8), Cellframe Network diserang oleh hacker di suatu platform rantai pintar karena masalah perhitungan jumlah token dalam proses migrasi likuiditas. Serangan ini menyebabkan hacker meraup keuntungan sekitar 76.112 dolar.
Detail Serangan
Penyerang pertama-tama memperoleh 1000 token asli dari platform rantai pintar tertentu dan 500.000 token New Cell melalui Pinjaman Flash. Setelah itu, mereka menukarkan semua token New Cell menjadi token asli platform tersebut, yang menyebabkan jumlah token asli dalam kolam likuiditas hampir mendekati nol. Terakhir, penyerang menukarkan 900 token asli menjadi token Old Cell.
Perlu dicatat bahwa penyerang menambahkan likuiditas Old Cell dan token asli sebelum melaksanakan serangan, dan memperoleh token lp Old.
Proses Serangan
Penyerang memanggil fungsi migrasi likuiditas. Pada saat ini, kolam baru hampir tidak memiliki token asli, sedangkan kolam lama hampir tidak memiliki token Old Cell.
Proses migrasi mencakup: menghapus likuiditas lama dan mengembalikan jumlah token yang sesuai kepada pengguna; menambahkan likuiditas baru sesuai dengan proporsi kolam yang baru.
Karena hampir tidak ada token Old Cell di kolam lama, jumlah token asli yang diperoleh saat menghapus likuiditas meningkat, sementara jumlah token Old Cell berkurang.
Pengguna hanya perlu menambahkan sejumlah kecil token asli dan token New Cell untuk mendapatkan likuiditas, token asli yang berlebihan dan token Old Cell akan dikembalikan kepada pengguna.
Penyerang menghapus likuiditas dari kolam baru dan menukar token Old Cell yang dikembalikan dengan token asli.
Pada saat ini, terdapat banyak token Old Cell dalam kolam lama tetapi tidak ada token asli, penyerang akan menukar kembali token Old Cell menjadi token asli, sehingga menghasilkan keuntungan.
Penyerang melakukan operasi migrasi berulang kali untuk mendapatkan keuntungan lebih lanjut.
Ringkasan dan Saran
Serangan kali ini mengungkapkan masalah kunci saat memigrasikan likuiditas: perhitungan yang langsung menggunakan jumlah dua token dalam pasangan perdagangan mudah dimanipulasi. Untuk mencegah serangan serupa, pengembang harus:
Pertimbangkan secara menyeluruh perubahan jumlah dua jenis token di kolam lama dan baru.
Memasukkan harga token saat ini dalam pertimbangan perhitungan.
Lakukan audit keamanan menyeluruh sebelum kode diluncurkan.
Peristiwa ini sekali lagi menekankan pentingnya keamanan dan audit kode dalam bidang keuangan terdesentralisasi. Tim proyek harus lebih berhati-hati dalam merancang dan mengimplementasikan fungsi-fungsi kunci, terutama yang terkait dengan aliran dana. Pada saat yang sama, pengguna juga harus menyadari risiko yang mungkin dihadapi saat berpartisipasi dalam proyek baru dan mengambil langkah-langkah pencegahan yang sesuai.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Cellframe Network遭Pinjaman Flash攻击 HackerArbitrase7.6万美元
Analisis Insiden Serangan Pinjaman Flash pada Cellframe Network
Pada 1 Juni 2023 pukul 10:07:55 (UTC+8), Cellframe Network diserang oleh hacker di suatu platform rantai pintar karena masalah perhitungan jumlah token dalam proses migrasi likuiditas. Serangan ini menyebabkan hacker meraup keuntungan sekitar 76.112 dolar.
Detail Serangan
Penyerang pertama-tama memperoleh 1000 token asli dari platform rantai pintar tertentu dan 500.000 token New Cell melalui Pinjaman Flash. Setelah itu, mereka menukarkan semua token New Cell menjadi token asli platform tersebut, yang menyebabkan jumlah token asli dalam kolam likuiditas hampir mendekati nol. Terakhir, penyerang menukarkan 900 token asli menjadi token Old Cell.
Perlu dicatat bahwa penyerang menambahkan likuiditas Old Cell dan token asli sebelum melaksanakan serangan, dan memperoleh token lp Old.
Proses Serangan
Penyerang memanggil fungsi migrasi likuiditas. Pada saat ini, kolam baru hampir tidak memiliki token asli, sedangkan kolam lama hampir tidak memiliki token Old Cell.
Proses migrasi mencakup: menghapus likuiditas lama dan mengembalikan jumlah token yang sesuai kepada pengguna; menambahkan likuiditas baru sesuai dengan proporsi kolam yang baru.
Karena hampir tidak ada token Old Cell di kolam lama, jumlah token asli yang diperoleh saat menghapus likuiditas meningkat, sementara jumlah token Old Cell berkurang.
Pengguna hanya perlu menambahkan sejumlah kecil token asli dan token New Cell untuk mendapatkan likuiditas, token asli yang berlebihan dan token Old Cell akan dikembalikan kepada pengguna.
Penyerang menghapus likuiditas dari kolam baru dan menukar token Old Cell yang dikembalikan dengan token asli.
Pada saat ini, terdapat banyak token Old Cell dalam kolam lama tetapi tidak ada token asli, penyerang akan menukar kembali token Old Cell menjadi token asli, sehingga menghasilkan keuntungan.
Penyerang melakukan operasi migrasi berulang kali untuk mendapatkan keuntungan lebih lanjut.
Ringkasan dan Saran
Serangan kali ini mengungkapkan masalah kunci saat memigrasikan likuiditas: perhitungan yang langsung menggunakan jumlah dua token dalam pasangan perdagangan mudah dimanipulasi. Untuk mencegah serangan serupa, pengembang harus:
Peristiwa ini sekali lagi menekankan pentingnya keamanan dan audit kode dalam bidang keuangan terdesentralisasi. Tim proyek harus lebih berhati-hati dalam merancang dan mengimplementasikan fungsi-fungsi kunci, terutama yang terkait dengan aliran dana. Pada saat yang sama, pengguna juga harus menyadari risiko yang mungkin dihadapi saat berpartisipasi dalam proyek baru dan mengambil langkah-langkah pencegahan yang sesuai.