Analisis Peristiwa Serangan Pinjaman Flash di Cellframe Network

Pada 1 Juni 2023 pukul 10:07:55 (UTC+8), Cellframe Network diserang oleh hacker di suatu rantai pintar karena masalah perhitungan jumlah token selama proses migrasi likuiditas. Serangan ini menyebabkan hacker mendapatkan keuntungan sekitar 76.112 dolar AS.

Penyebab Dasar Serangan

Masalah perhitungan selama proses migrasi likuiditas adalah penyebab utama serangan ini.

Penjelasan Detail Proses Serangan

1. Penyerang pertama-tama memperoleh 1000 token asli dari suatu rantai dan 500.000 token New Cell melalui Pinjaman Flash. Selanjutnya, semua token New Cell ditukar menjadi token asli, menyebabkan jumlah token asli dalam kolam likuiditas mendekati nol. Terakhir, penyerang menukar 900 token asli menjadi token Old Cell.

2. Perlu dicatat bahwa penyerang sebelum melakukan serangan, telah menambahkan likuiditas Old Cell dan token asli, sehingga memperoleh token lp Old.

3. Selanjutnya, penyerang memanggil fungsi migrasi likuiditas. Pada saat ini, hampir tidak ada token asli di kolam baru, dan hampir tidak ada token Old Cell di kolam lama. Proses migrasi mencakup langkah-langkah berikut:

   • Menghapus likuiditas lama dan mengembalikan jumlah token yang sesuai kepada pengguna
   • Tambahkan likuiditas baru sesuai proporsi kolam baru

   Karena hampir tidak ada token Old Cell di kolam lama, jumlah token asli yang diperoleh saat menghapus likuiditas meningkat, sementara jumlah token Old Cell berkurang. Ini menyebabkan pengguna hanya perlu menambahkan sedikit token asli dan token New Cell untuk mendapatkan likuiditas, sementara token asli dan token Old Cell yang berlebih akan dikembalikan kepada pengguna.

4. Terakhir, penyerang menghapus likuiditas dari kolam baru dan menukar token Old Cell yang dikembalikan dari migrasi menjadi token asli. Pada saat ini, kolam lama memiliki banyak token Old Cell tetapi hampir tidak ada token asli, penyerang menukar token Old Cell kembali menjadi token asli, sehingga menyelesaikan keuntungan. Selanjutnya, penyerang mengulangi operasi migrasi.

Saran Keamanan

1. Dalam melakukan migrasi likuiditas, perlu mempertimbangkan secara menyeluruh perubahan jumlah dua token di kolam lama dan baru serta harga token saat ini. Mengandalkan jumlah dua token dalam pasangan perdagangan untuk perhitungan dapat dengan mudah dimanipulasi.

2. Sebelum kode diluncurkan, pastikan untuk melakukan audit keamanan yang komprehensif dan mendalam untuk menemukan dan memperbaiki potensi kerentanan.

Kejadian kali ini sekali lagi menyoroti pentingnya keamanan dan kualitas kode dalam bidang keuangan terdesentralisasi (DeFi). Pihak proyek perlu terus meningkatkan kewaspadaan, memperbaiki langkah-langkah keamanan, untuk melindungi aset pengguna dan menjaga perkembangan sehat ekosistem.