Phân tích sự kiện cuộc tấn công cho vay chớp nhoáng của Cellframe Network
Vào lúc 10 giờ 7 phút 55 giây (UTC+8) ngày 1 tháng 6 năm 2023, Cellframe Network đã bị tấn công bởi hacker trên chuỗi thông minh Binance, kẻ tấn công đã lợi dụng lỗ hổng tính toán số lượng token trong quá trình di chuyển thanh khoản để thu lợi 76,112 đô la.
Chi tiết cuộc tấn công
Kẻ tấn công đầu tiên lấy 1000 BNB và 500000 token New Cell thông qua Khoản vay nhanh. Sau đó, họ đổi tất cả token New Cell thành BNB, khiến số lượng BNB trong bể giao dịch gần như bằng không. Ngay lập tức, kẻ tấn công sử dụng 900 BNB để đổi lấy token Old Cell.
Cần lưu ý rằng kẻ tấn công đã thêm tính thanh khoản cho Old Cell và BNB trước khi thực hiện cuộc tấn công, nhận được Old lp.
Chìa khóa của cuộc tấn công nằm ở việc gọi hàm di chuyển tính thanh khoản. Lúc này, bể mới hầu như không có BNB, trong khi bể cũ hầu như không có token Old Cell. Quá trình di chuyển bao gồm việc loại bỏ tính thanh khoản cũ và thêm tính thanh khoản mới theo tỷ lệ của bể mới. Do sự khan hiếm token Old Cell trong bể cũ, số lượng BNB nhận được khi loại bỏ tính thanh khoản tăng lên, trong khi số lượng token Old Cell giảm.
Điều này dẫn đến việc người dùng chỉ cần thêm một lượng nhỏ BNB và token New Cell để nhận được tính thanh khoản, số BNB và token Old Cell dư thừa sẽ được trả lại cho người dùng. Kẻ tấn công sau đó loại bỏ tính thanh khoản của pool mới và đổi token Old Cell đã trả lại thành BNB, từ đó hoàn thành việc kiếm lợi.
Nguồn gốc của cuộc tấn công
Vấn đề tính toán trong quá trình di chuyển thanh khoản là nguyên nhân cơ bản của cuộc tấn công này. Kẻ tấn công đã lợi dụng lỗ hổng của cơ chế di chuyển bằng cách thao túng tỷ lệ token trong pool.
Đề xuất phòng ngừa
Khi thực hiện di chuyển thanh khoản, cần xem xét toàn diện sự thay đổi về số lượng hai loại token trong bể cũ và bể mới cũng như giá token hiện tại.
Tránh việc chỉ dựa vào số lượng của hai loại token trong cặp giao dịch để tính toán, điều này dễ bị thao túng.
Trước khi triển khai mã, hãy đảm bảo thực hiện một cuộc kiểm tra an ninh toàn diện và nghiêm ngặt.
Sự kiện lần này một lần nữa nhấn mạnh rằng các dự án DeFi cần phải đặc biệt cẩn trọng trong việc thiết kế và thực hiện cơ chế quản lý thanh khoản để phòng ngừa rủi ro tấn công tiềm ẩn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
6 thích
Phần thưởng
6
6
Đăng lại
Chia sẻ
Bình luận
0/400
SigmaBrain
· 11giờ trước
Lại là khoản vay nhanh, bẫy này còn có thể dùng bao lâu nữa?
Xem bản gốcTrả lời0
AirdropHarvester
· 08-16 21:39
Lần này việc kiếm lời diễn ra khá suôn sẻ.
Xem bản gốcTrả lời0
ser_we_are_ngmi
· 08-16 21:38
Lại một khoản vay nhanh nữa rồi, không thể hết được.
Xem bản gốcTrả lời0
DeepRabbitHole
· 08-16 21:37
也就这点钱 丢人丢到家了
Trả lời0
GateUser-7b078580
· 08-16 21:37
Theo giờ, 76112刀 đối với toàn bộ BSC chỉ là 1 giọt nước trong đại dương. Không đau không ngứa.
Xem bản gốcTrả lời0
LiquiditySurfer
· 08-16 21:21
Lại có cá mập đang chơi lướt sóng độ sâu thấp trong hồ.
Cellframe Network遭 cuộc tấn công cho vay chớp nhoáng Thanh khoản迁移漏洞导致7.6万美元损失
Phân tích sự kiện cuộc tấn công cho vay chớp nhoáng của Cellframe Network
Vào lúc 10 giờ 7 phút 55 giây (UTC+8) ngày 1 tháng 6 năm 2023, Cellframe Network đã bị tấn công bởi hacker trên chuỗi thông minh Binance, kẻ tấn công đã lợi dụng lỗ hổng tính toán số lượng token trong quá trình di chuyển thanh khoản để thu lợi 76,112 đô la.
Chi tiết cuộc tấn công
Kẻ tấn công đầu tiên lấy 1000 BNB và 500000 token New Cell thông qua Khoản vay nhanh. Sau đó, họ đổi tất cả token New Cell thành BNB, khiến số lượng BNB trong bể giao dịch gần như bằng không. Ngay lập tức, kẻ tấn công sử dụng 900 BNB để đổi lấy token Old Cell.
Cần lưu ý rằng kẻ tấn công đã thêm tính thanh khoản cho Old Cell và BNB trước khi thực hiện cuộc tấn công, nhận được Old lp.
Chìa khóa của cuộc tấn công nằm ở việc gọi hàm di chuyển tính thanh khoản. Lúc này, bể mới hầu như không có BNB, trong khi bể cũ hầu như không có token Old Cell. Quá trình di chuyển bao gồm việc loại bỏ tính thanh khoản cũ và thêm tính thanh khoản mới theo tỷ lệ của bể mới. Do sự khan hiếm token Old Cell trong bể cũ, số lượng BNB nhận được khi loại bỏ tính thanh khoản tăng lên, trong khi số lượng token Old Cell giảm.
Điều này dẫn đến việc người dùng chỉ cần thêm một lượng nhỏ BNB và token New Cell để nhận được tính thanh khoản, số BNB và token Old Cell dư thừa sẽ được trả lại cho người dùng. Kẻ tấn công sau đó loại bỏ tính thanh khoản của pool mới và đổi token Old Cell đã trả lại thành BNB, từ đó hoàn thành việc kiếm lợi.
Nguồn gốc của cuộc tấn công
Vấn đề tính toán trong quá trình di chuyển thanh khoản là nguyên nhân cơ bản của cuộc tấn công này. Kẻ tấn công đã lợi dụng lỗ hổng của cơ chế di chuyển bằng cách thao túng tỷ lệ token trong pool.
Đề xuất phòng ngừa
Khi thực hiện di chuyển thanh khoản, cần xem xét toàn diện sự thay đổi về số lượng hai loại token trong bể cũ và bể mới cũng như giá token hiện tại.
Tránh việc chỉ dựa vào số lượng của hai loại token trong cặp giao dịch để tính toán, điều này dễ bị thao túng.
Trước khi triển khai mã, hãy đảm bảo thực hiện một cuộc kiểm tra an ninh toàn diện và nghiêm ngặt.
Sự kiện lần này một lần nữa nhấn mạnh rằng các dự án DeFi cần phải đặc biệt cẩn trọng trong việc thiết kế và thực hiện cơ chế quản lý thanh khoản để phòng ngừa rủi ro tấn công tiềm ẩn.