Mạng Cellframe bị cuộc tấn công cho vay chớp nhoáng, thiệt hại 76.000 USD

Phân tích sự kiện Cellframe Network bị cuộc tấn công cho vay chớp nhoáng

Vào ngày 1 tháng 6 năm 2023, lúc 10 giờ 7 phút 55 giây (UTC+8), Cellframe Network đã bị tấn công bởi hacker do sự cố tính toán số lượng token trong quá trình di chuyển thanh khoản trên một chuỗi thông minh. Cuộc tấn công này đã khiến hacker thu lợi khoảng 76,112 USD.

Web3 An ninh | Phân tích sự kiện Cellframe Network bị tấn công do thao túng tỷ lệ pool bằng khoản vay nhanh

Nguyên nhân gốc rễ của cuộc tấn công

Vấn đề tính toán trong quá trình di chuyển thanh khoản là nguyên nhân chính của cuộc tấn công này.

Giải thích chi tiết quy trình tấn công

  1. Kẻ tấn công đầu tiên thông qua Khoản vay nhanh nhận được 1000 đồng token gốc của một chuỗi nhất định và 500000 đồng token New Cell. Sau đó, họ đổi tất cả đồng token New Cell thành đồng token gốc, dẫn đến số lượng đồng token gốc trong bể thanh khoản gần như bằng không. Cuối cùng, kẻ tấn công dùng 900 đồng token gốc để đổi lấy đồng token Old Cell.

  2. Cần lưu ý rằng, trước khi tiến hành cuộc tấn công, kẻ tấn công đã thêm trước tính thanh khoản của Old Cell và các token gốc, nhận được token lp cũ.

Web3 An toàn | Phân tích sự kiện Cellframe Network bị tấn công do khoản vay nhanh thao túng tỷ lệ pool

  1. Tiếp theo, kẻ tấn công đã gọi chức năng di chuyển thanh khoản. Vào thời điểm này, trong bể mới hầu như không có token gốc, trong khi bể cũ gần như không có token Old Cell. Quá trình di chuyển bao gồm các bước sau:

    • Gỡ bỏ tính thanh khoản cũ và hoàn trả số lượng token tương ứng cho người dùng
    • Thêm tính thanh khoản mới theo tỷ lệ của bể mới

    Do trong bể cũ gần như không có token Old Cell, số lượng token gốc nhận được khi loại bỏ tính thanh khoản tăng lên, trong khi số lượng token Old Cell giảm đi. Điều này dẫn đến việc người dùng chỉ cần thêm một lượng nhỏ token gốc và token New Cell để có được tính thanh khoản, số token gốc và token Old Cell dư thừa sẽ được hoàn trả cho người dùng.

Web3 An toàn | Phân tích sự kiện Cellframe Network bị tấn công do Khoản vay nhanh thao túng tỷ lệ pool

  1. Cuối cùng, kẻ tấn công loại bỏ tính thanh khoản của bể mới và đổi các mã thông báo Old Cell mà họ nhận được từ việc di chuyển thành mã thông báo gốc. Lúc này, bể cũ có một số lượng lớn mã thông báo Old Cell nhưng gần như không có mã thông báo gốc, kẻ tấn công sẽ đổi lại các mã thông báo Old Cell thành mã thông báo gốc, từ đó hoàn thành việc thu lợi. Sau đó, kẻ tấn công lặp lại thao tác di chuyển.

Web3 an toàn | Phân tích sự kiện Cellframe Network bị tấn công do thao túng tỷ lệ pool bằng khoản vay nhanh

Gợi ý an toàn

  1. Trong quá trình di chuyển thanh khoản, cần xem xét đầy đủ sự thay đổi số lượng hai loại token trong bể cũ và mới cũng như giá token hiện tại. Chỉ dựa vào số lượng của hai loại token trong cặp giao dịch để tính toán có thể dễ dàng bị thao túng.

  2. Trước khi triển khai mã, hãy thực hiện kiểm toán an ninh toàn diện và sâu sắc để phát hiện và sửa chữa các lỗ hổng tiềm ẩn.

Bảo mật Web3 | Phân tích sự kiện Cellframe Network bị tấn công do Khoản vay nhanh thao túng tỷ lệ pool

Sự kiện lần này một lần nữa làm nổi bật tầm quan trọng của an ninh và chất lượng mã trong lĩnh vực tài chính phi tập trung (DeFi). Các dự án cần liên tục nâng cao cảnh giác, hoàn thiện các biện pháp an ninh để bảo vệ tài sản của người dùng và duy trì sự phát triển lành mạnh của hệ sinh thái.

Web3 an toàn | Phân tích sự kiện Cellframe Network bị tấn công do thao túng tỷ lệ pool bằng khoản vay nhanh

Xem bản gốc
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • Phần thưởng
  • 6
  • Chia sẻ
Bình luận
0/400
Yogawvip
· 07-10 22:45
vẫn rất nhỏ với khoản lỗ như vậy!
Xem bản gốcTrả lời0
GateUser-a180694bvip
· 07-10 20:22
Một lần nữa lỗ hổng thuật toán
Xem bản gốcTrả lời0
MeaninglessApevip
· 07-10 20:18
又 một đồ ngốc bị chơi đùa với mọi người
Xem bản gốcTrả lời0
MEVictimvip
· 07-10 20:11
Một lần nữa cuộc tấn công cho vay chớp nhoáng
Xem bản gốcTrả lời0
MetaverseLandlordvip
· 07-10 20:03
Một lỗ hổng mã khác
Xem bản gốcTrả lời0
JustHereForAirdropsvip
· 07-10 19:57
Mất mát cũng không lớn lắm phải không?
Xem bản gốcTrả lời0
  • Ghim
Giao dịch tiền điện tử mọi lúc mọi nơi
qrCode
Quét để tải xuống ứng dụng Gate
Cộng đồng
Tiếng Việt
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)