Аналіз інциденту атаки флеш-атаки на Cellframe Network

1 червня 2023 року о 10:07:55 (UTC+8) мережа Cellframe зазнала хакерської атаки на певному смарт-ланцюгу через проблеми з обчисленням кількості токенів під час процесу міграції ліквідності. Ця атака призвела до того, що хакери отримали прибуток приблизно 76 112 доларів.

Основні причини атаки

Проблеми з обчисленнями під час процесу міграції ліквідності стали основною причиною цієї атаки.

Детальний опис процесу атаки

1. Атакуючий спочатку отримав 1000 рідних токенів певного блокчейну та 500000 токенів New Cell за допомогою Термінові позики. Потім він обміняв усі токени New Cell на рідні токени, що призвело до зниження кількості рідних токенів у ліквідності до майже нуля. На останок, атакуючий обміняв 900 рідних токенів на токени Old Cell.

2. Варто зазначити, що перед здійсненням атаки зловмисник заздалегідь додав ліквідність Old Cell та рідних токенів, отримавши токени Old lp.

3. Потім зловмисник викликав функцію міграції ліквідності. У цей момент у новому пулі майже немає рідних токенів, а в старому пулі майже немає токенів Old Cell. Процес міграції включає наступні етапи:

   • Видалити стару ліквідність та повернути відповідну кількість токенів користувачеві
   • Додати нову ліквідність відповідно до пропорцій нового пулу

   Оскільки в старому пулі практично немає токенів Old Cell, кількість рідних токенів, отриманих під час видалення ліквідності, збільшується, а кількість токенів Old Cell зменшується. Це призводить до того, що користувачам потрібно додати лише кілька рідних токенів і токенів New Cell для отримання ліквідності, а надлишкові рідні токени та токени Old Cell повертаються користувачеві.

4. Нарешті, зловмисник видаляє ліквідність з нового пулу та обмінює повернені токени Old Cell на рідні токени. На цьому етапі в старому пулі є велика кількість токенів Old Cell, але майже немає рідних токенів, зловмисник знову обмінює токени Old Cell на рідні токени, завершуючи отримання прибутку. Потім зловмисник повторює операцію міграції.

Рекомендації з безпеки

1. Під час міграції ліквідності слід всебічно враховувати зміни в кількості двох токенів у новому та старому пулі, а також поточну ціну токенів. Спирання лише на кількість двох токенів у торговій парі може бути легко маніпульоване.

2. Перед запуском коду обов'язково проведіть всебічний та глибокий аудит безпеки, щоб виявити та виправити потенційні вразливості.

Ця подія ще раз підкреслила важливість безпеки та якості коду в сфері децентралізованих фінансів (DeFi). Проектам потрібно постійно бути на чеку, покращувати заходи безпеки, щоб захистити активи користувачів і підтримувати здоровий розвиток екосистеми.