1 червня 2023 року о 10:07:55 (UTC+8) мережа Cellframe зазнала хакерської атаки на Binance Smart Chain, зловмисники отримали прибуток у 76 112 доларів, скориставшись вразливістю у розрахунку кількості токенів під час процесу міграції ліквідності.
Деталі атаки
Атакуюча сторона спочатку отримує 1000 BNB і 500000 New Cell токенів через Термінові позики. Потім вони обмінюють всі токени New Cell на BNB, що призводить до зменшення кількості BNB у торговому пулі до майже нуля. Наступним кроком атакуюча сторона обмінює 900 BNB на Old Cell токени.
Варто зазначити, що зловмисники перед здійсненням атаки вже додали ліквідність до Old Cell і BNB, отримавши Old lp.
Ключ до атаки полягає в виклику функції міграції ліквідності. У цей момент у новому пулі майже немає BNB, а в старому пулі майже немає токенів Old Cell. Процес міграції включає видалення старої ліквідності та додавання нової ліквідності відповідно до пропорцій нового пулу. Через брак токенів Old Cell у старому пулі, кількість BNB, отриманих під час видалення ліквідності, збільшується, а кількість токенів Old Cell зменшується.
Це призвело до того, що користувачі можуть отримати ліквідність, додавши лише невелику кількість BNB та токенів New Cell, а надлишкові BNB та токени Old Cell повертаються користувачеві. Зловмисники потім видаляють ліквідність нового пулу і обмінюють повернуті токени Old Cell на BNB, таким чином отримуючи прибуток.
Джерело атаки
Обчислювальні проблеми під час процесу міграції ліквідності є основною причиною цієї атаки. Зловмисник, маніпулюючи пропорціями токенів у пулі, скористався вразливістю механізму міграції.
Рекомендації щодо запобігання
При здійсненні міграції ліквідності слід повністю враховувати зміни в кількості двох токенів у нових та старих пулах, а також поточну ціну токенів.
Уникайте покладатися лише на кількість двох токенів у торговій парі для розрахунків, це легко може бути маніпульовано.
Перед запуском коду обов'язково проведіть всебічний та суворий аудит безпеки.
Ця подія знову підкреслила, що проектам DeFi потрібно бути особливо обережними при проектуванні та впровадженні механізмів управління ліквідністю, щоб запобігти потенційним ризикам атак.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
6 лайків
Нагородити
6
6
Репост
Поділіться
Прокоментувати
0/400
SigmaBrain
· 10год тому
Знову Термінові позики, пастка ще скільки може працювати?
Переглянути оригіналвідповісти на0
AirdropHarvester
· 08-16 21:39
Ця хвиля збору вражаюча.
Переглянути оригіналвідповісти на0
ser_we_are_ngmi
· 08-16 21:38
Ще один випадок термінових позик, не закінчиться ж це!
Переглянути оригіналвідповісти на0
DeepRabbitHole
· 08-16 21:37
也就这点钱 丢人丢到家了
відповісти на0
GateUser-7b078580
· 08-16 21:37
За годину статистика показує, що 76112 доларів для всього BSC — це лише крапля в морі. Не боляче, не свербить.
Переглянути оригіналвідповісти на0
LiquiditySurfer
· 08-16 21:21
Знову акули грають у низькоамплітудне серфінг у басейні.
Cellframe Network зазнав флеш-атаки, внаслідок вразливості міграції ліквідності було зафіксовано збитки в 76 тисяч доларів.
Cellframe Network флеш-атака
1 червня 2023 року о 10:07:55 (UTC+8) мережа Cellframe зазнала хакерської атаки на Binance Smart Chain, зловмисники отримали прибуток у 76 112 доларів, скориставшись вразливістю у розрахунку кількості токенів під час процесу міграції ліквідності.
Деталі атаки
Атакуюча сторона спочатку отримує 1000 BNB і 500000 New Cell токенів через Термінові позики. Потім вони обмінюють всі токени New Cell на BNB, що призводить до зменшення кількості BNB у торговому пулі до майже нуля. Наступним кроком атакуюча сторона обмінює 900 BNB на Old Cell токени.
Варто зазначити, що зловмисники перед здійсненням атаки вже додали ліквідність до Old Cell і BNB, отримавши Old lp.
Ключ до атаки полягає в виклику функції міграції ліквідності. У цей момент у новому пулі майже немає BNB, а в старому пулі майже немає токенів Old Cell. Процес міграції включає видалення старої ліквідності та додавання нової ліквідності відповідно до пропорцій нового пулу. Через брак токенів Old Cell у старому пулі, кількість BNB, отриманих під час видалення ліквідності, збільшується, а кількість токенів Old Cell зменшується.
Це призвело до того, що користувачі можуть отримати ліквідність, додавши лише невелику кількість BNB та токенів New Cell, а надлишкові BNB та токени Old Cell повертаються користувачеві. Зловмисники потім видаляють ліквідність нового пулу і обмінюють повернуті токени Old Cell на BNB, таким чином отримуючи прибуток.
Джерело атаки
Обчислювальні проблеми під час процесу міграції ліквідності є основною причиною цієї атаки. Зловмисник, маніпулюючи пропорціями токенів у пулі, скористався вразливістю механізму міграції.
Рекомендації щодо запобігання
При здійсненні міграції ліквідності слід повністю враховувати зміни в кількості двох токенів у нових та старих пулах, а також поточну ціну токенів.
Уникайте покладатися лише на кількість двох токенів у торговій парі для розрахунків, це легко може бути маніпульовано.
Перед запуском коду обов'язково проведіть всебічний та суворий аудит безпеки.
Ця подія знову підкреслила, що проектам DeFi потрібно бути особливо обережними при проектуванні та впровадженні механізмів управління ліквідністю, щоб запобігти потенційним ризикам атак.