Análisis del incidente de ataque de flash loan en Cellframe Network
El 1 de junio de 2023 a las 10:07:55 (UTC+8), Cellframe Network fue atacado por hackers en la Binance Smart Chain debido a un problema de cálculo de tokens durante el proceso de migración de liquidez. Este ataque permitió a los hackers obtener aproximadamente 76,112 dólares.
Detalles del ataque
El atacante primero obtuvo 1000 BNB y 500,000 tokens New Cell a través de Flash Loans. Luego, intercambiaron todos los tokens New Cell por BNB, lo que provocó que la cantidad de BNB en el pool se acercara a cero. Finalmente, el atacante intercambió 900 BNB por tokens Old Cell.
Es importante señalar que el atacante agregó liquidez de Old Cell y BNB antes de llevar a cabo el ataque, obteniendo Old lp.
Proceso de ataque
El atacante llama a la función de migración de liquidez. En este momento, casi no hay BNB en la nueva piscina, y casi no hay tokens Old Cell en la piscina antigua.
El proceso de migración incluye: eliminar la liquidez antigua y devolver la cantidad correspondiente de tokens a los usuarios; añadir nueva liquidez de acuerdo con la proporción de la nueva piscina.
Debido a que en el antiguo grupo prácticamente no hay tokens Old Cell, la cantidad de BNB obtenida al retirar liquidez aumenta, mientras que la cantidad de tokens Old Cell disminuye.
El usuario solo necesita agregar una pequeña cantidad de BNB y tokens New Cell para obtener liquidez, el BNB y los tokens Old Cell restantes se devolverán al usuario.
El atacante elimina la liquidez del nuevo fondo y cambia los tokens Old Cell devueltos por BNB.
En este momento, hay una gran cantidad de tokens Old Cell en el viejo fondo, pero no hay BNB, el atacante convierte nuevamente los tokens Old Cell en BNB, completando así las ganancias.
El atacante repite la operación de migración.
Raíz de la vulnerabilidad
Se produjo un problema en el cálculo de la cantidad de tokens durante el proceso de migración de liquidez, lo que permite a los atacantes obtener beneficios manipulando las proporciones del fondo.
Sugerencias de seguridad
Al migrar la liquidez, se debe considerar de manera integral el cambio en la cantidad de los dos tokens en los antiguos y nuevos grupos, así como el precio actual de los tokens.
Evite usar directamente la cantidad de dos monedas del par de negociación para calcular, ya que esto puede ser manipulado.
Realizar una auditoría de seguridad completa antes de poner el código en producción para prevenir vulnerabilidades potenciales.
Este evento destaca una vez más la importancia de considerar exhaustivamente diversas situaciones al diseñar e implementar operaciones financieras complejas, especialmente en operaciones sensibles como la migración de liquidez. Al mismo tiempo, también nos recuerda que la importancia de las auditorías de seguridad en el ecosistema blockchain no debe ser subestimada.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
12 me gusta
Recompensa
12
6
Compartir
Comentar
0/400
GasFeeCrier
· 07-20 17:49
Otro proyecto ha tenido un accidente, es aterrador.
Ver originalesResponder0
WhaleMistaker
· 07-20 17:49
Otro proyecto se convierte en objetivo de ataque, ay.
Ver originalesResponder0
LiquidationWatcher
· 07-20 17:48
Otra empresa se ha estrellado, veamos quién es el próximo.
Ver originalesResponder0
LiquiditySurfer
· 07-20 17:47
Solo es el mercado aprovechando la tendencia, esta escena es demasiado común~
Cellframe Network sufrió un ataque de flash loan con una pérdida de 76,000 dólares.
Análisis del incidente de ataque de flash loan en Cellframe Network
El 1 de junio de 2023 a las 10:07:55 (UTC+8), Cellframe Network fue atacado por hackers en la Binance Smart Chain debido a un problema de cálculo de tokens durante el proceso de migración de liquidez. Este ataque permitió a los hackers obtener aproximadamente 76,112 dólares.
Detalles del ataque
El atacante primero obtuvo 1000 BNB y 500,000 tokens New Cell a través de Flash Loans. Luego, intercambiaron todos los tokens New Cell por BNB, lo que provocó que la cantidad de BNB en el pool se acercara a cero. Finalmente, el atacante intercambió 900 BNB por tokens Old Cell.
Es importante señalar que el atacante agregó liquidez de Old Cell y BNB antes de llevar a cabo el ataque, obteniendo Old lp.
Proceso de ataque
El atacante llama a la función de migración de liquidez. En este momento, casi no hay BNB en la nueva piscina, y casi no hay tokens Old Cell en la piscina antigua.
El proceso de migración incluye: eliminar la liquidez antigua y devolver la cantidad correspondiente de tokens a los usuarios; añadir nueva liquidez de acuerdo con la proporción de la nueva piscina.
Debido a que en el antiguo grupo prácticamente no hay tokens Old Cell, la cantidad de BNB obtenida al retirar liquidez aumenta, mientras que la cantidad de tokens Old Cell disminuye.
El usuario solo necesita agregar una pequeña cantidad de BNB y tokens New Cell para obtener liquidez, el BNB y los tokens Old Cell restantes se devolverán al usuario.
El atacante elimina la liquidez del nuevo fondo y cambia los tokens Old Cell devueltos por BNB.
En este momento, hay una gran cantidad de tokens Old Cell en el viejo fondo, pero no hay BNB, el atacante convierte nuevamente los tokens Old Cell en BNB, completando así las ganancias.
El atacante repite la operación de migración.
Raíz de la vulnerabilidad
Se produjo un problema en el cálculo de la cantidad de tokens durante el proceso de migración de liquidez, lo que permite a los atacantes obtener beneficios manipulando las proporciones del fondo.
Sugerencias de seguridad
Al migrar la liquidez, se debe considerar de manera integral el cambio en la cantidad de los dos tokens en los antiguos y nuevos grupos, así como el precio actual de los tokens.
Evite usar directamente la cantidad de dos monedas del par de negociación para calcular, ya que esto puede ser manipulado.
Realizar una auditoría de seguridad completa antes de poner el código en producción para prevenir vulnerabilidades potenciales.
Este evento destaca una vez más la importancia de considerar exhaustivamente diversas situaciones al diseñar e implementar operaciones financieras complejas, especialmente en operaciones sensibles como la migración de liquidez. Al mismo tiempo, también nos recuerda que la importancia de las auditorías de seguridad en el ecosistema blockchain no debe ser subestimada.