Cellframe Network遭闪电贷攻击 损失7.6万美元

robot
摘要生成中

Cellframe Network 遭遇闪电贷攻击事件分析

2023年6月1日10时7分55秒(UTC+8),Cellframe Network 在某智能链上因流动性迁移过程中的代币数量计算问题遭到黑客攻击。这次攻击导致黑客获利约76,112美元。

事件分析

攻击者利用闪电贷功能获取了大量资金和代币,随后通过操纵流动性池中的代币比例来实施攻击。

Web3 安全 | Cellframe Network 因闪电贷操控池子比例遭受攻击事件分析

攻击流程

  1. 攻击者首先通过闪电贷获得1000个某智能链原生代币和50万个New Cell代币。
  2. 将所有New Cell代币兑换成原生代币,导致池中原生代币数量接近零。
  3. 用900个原生代币兑换Old Cell代币。
  4. 在攻击前,攻击者添加了Old Cell和原生代币的流动性,获得Old lp。
  5. 调用流动性迁移函数。此时新池中几乎没有原生代币,老池中几乎没有Old Cell代币。
  6. 迁移过程中,由于旧池中基本没有Old Cell代币,移除流动性时获得的原生代币数量增加,而Old Cell代币数量减少。
  7. 攻击者只需添加少量原生代币和New Cell代币即可获取流动性,多余的原生代币和Old Cell代币返回给攻击者。
  8. 最后,攻击者移除新池的流动性,将迁移返回的Old Cell代币兑换成原生代币,完成盈利。

Web3 安全 | Cellframe Network 因闪电贷操控池子比例遭受攻击事件分析

Web3 安全 | Cellframe Network 因闪电贷操控池子比例遭受攻击事件分析

Web3 安全 | Cellframe Network 因闪电贷操控池子比例遭受攻击事件分析

Web3 安全 | Cellframe Network 因闪电贷操控池子比例遭受攻击事件分析

总结

此次攻击暴露了在流动性迁移过程中的计算漏洞。在进行流动性迁移时,应当综合考虑新旧池子中两种代币的数量变化或当前代币价格,而不是简单地计算交易对中两个币种的数量,因为这容易被操控。

此外,这一事件再次强调了在代码上线前进行全面安全审计的重要性。只有通过严格的安全措施,才能有效防范类似的攻击事件发生。

Web3 安全 | Cellframe Network 因闪电贷操控池子比例遭受攻击事件分析

此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见声明
  • 赞赏
  • 8
  • 分享
评论
0/400
SignatureCollectorvip
· 4小时前
又一个没审计搞区块链的
回复0
TrustMeBrovip
· 07-08 23:06
又是闪电贷 老套路了
回复0
大饼霸霸vip
· 07-08 17:35
又见闪电贷,业界毒瘤啊
回复0
闪电佬vip
· 07-08 05:37
哇 七万多美元 真是小打小闹啊
回复0
薛定谔的老鼠仓vip
· 07-08 05:33
又一家凉凉~
回复0
zkProofInThePuddingvip
· 07-08 05:28
小项目被攻都懒得看了
回复0
Gas Banditvip
· 07-08 05:27
炸鱼怪又来了咩
回复0
薛定谔的空投vip
· 07-08 05:27
又一家凉凉 啧啧啧
回复0
交易,随时随地
qrCode
扫码下载 Gate APP
社群列表
简体中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)