Analyse de l'incident d'attaque par Prêts Flash du Cellframe Network
Le 1er juin 2023 à 10h07 et 55 secondes (UTC+8), Cellframe Network a été attaqué par des hackers sur une certaine blockchain en raison d'un problème de calcul du nombre de tokens lors du processus de migration de liquidité. Cette attaque a permis aux hackers de réaliser un profit d'environ 76,112 dollars.
Détails de l'attaque
L'attaquant a d'abord obtenu 1000 unités d'une certaine cryptomonnaie et 500 000 jetons New Cell via un Prêt Flash. Ensuite, ils ont échangé tous les jetons New Cell contre cette cryptomonnaie, ce qui a presque réduit à zéro la quantité de cette monnaie dans la piscine de liquidités. Enfin, l'attaquant a échangé 900 unités de cette cryptomonnaie contre des jetons Old Cell.
Il est à noter que l'attaquant a augmenté la liquidité de Old Cell et d'une certaine cryptomonnaie avant d'effectuer l'attaque, obtenant ainsi Old lp.
Processus d'attaque
L'attaquant appelle la fonction de migration de liquidité. À ce moment-là, il n'y a presque aucune cryptomonnaie dans le nouveau pool, et il n'y a presque aucun jeton Old Cell dans l'ancien pool.
Le processus de migration comprend : retirer l'ancienne liquidité et restituer les jetons correspondants aux utilisateurs ; ajouter de la nouvelle liquidité selon le ratio du nouveau pool.
En raison de la rareté des tokens Old Cell dans l'ancienne réserve, la quantité de certaines cryptomonnaies obtenues lors de la suppression de la liquidité augmente, tandis que la quantité de tokens Old Cell diminue.
Les utilisateurs n'ont besoin d'ajouter qu'une petite quantité d'une certaine cryptomonnaie et de jetons New Cell pour obtenir de la liquidité, tandis que l'excédent d'une certaine cryptomonnaie et de jetons Old Cell sera retourné à l'utilisateur.
L'attaquant supprime ensuite la liquidité du nouveau pool et échange les jetons Old Cell retournés contre une certaine cryptomonnaie.
À ce moment-là, il y a une grande quantité de jetons Old Cell dans l'ancienne piscine mais aucune crypto-monnaie, l'attaquant échange à nouveau les jetons Old Cell contre une certaine crypto-monnaie pour réaliser un profit.
L'attaquant exécute plusieurs fois l'opération de migration pour obtenir plus de profits.
Leçons et conseils
Lors de la migration de la liquidité, il convient de prendre en compte l'évolution des quantités des deux types de tokens dans les anciens et nouveaux pools ainsi que le prix actuel des tokens.
Évitez d'utiliser directement le nombre des deux tokens dans la paire de trading pour les calculs, car cela peut être facilement manipulé.
Avant la mise en ligne du code, il est essentiel de procéder à un audit de sécurité complet et minutieux afin de réduire les risques d'attaques similaires.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
4
Partager
Commentaire
0/400
DefiOldTrickster
· Il y a 17h
Juste cette petite arbitrage ? Même un débutant sait qu'il faut en profiter davantage.
Voir l'originalRépondre0
FlatlineTrader
· Il y a 17h
Comment se fait-il que nous soyons à nouveau attaqués, la situation est déjà assez désastreuse.
Voir l'originalRépondre0
GateUser-bd883c58
· Il y a 17h
À peine 70 000 dollars ne suffisent pas à combler les dents.
Voir l'originalRépondre0
AirdropHarvester
· Il y a 18h
À peine plus de 70 000, c'est vraiment trop faible.
Analyse de l'incident d'attaque par prêts flash de Cellframe Network : Hacker a réalisé un profit de 76 000 $
Analyse de l'incident d'attaque par Prêts Flash du Cellframe Network
Le 1er juin 2023 à 10h07 et 55 secondes (UTC+8), Cellframe Network a été attaqué par des hackers sur une certaine blockchain en raison d'un problème de calcul du nombre de tokens lors du processus de migration de liquidité. Cette attaque a permis aux hackers de réaliser un profit d'environ 76,112 dollars.
Détails de l'attaque
L'attaquant a d'abord obtenu 1000 unités d'une certaine cryptomonnaie et 500 000 jetons New Cell via un Prêt Flash. Ensuite, ils ont échangé tous les jetons New Cell contre cette cryptomonnaie, ce qui a presque réduit à zéro la quantité de cette monnaie dans la piscine de liquidités. Enfin, l'attaquant a échangé 900 unités de cette cryptomonnaie contre des jetons Old Cell.
Il est à noter que l'attaquant a augmenté la liquidité de Old Cell et d'une certaine cryptomonnaie avant d'effectuer l'attaque, obtenant ainsi Old lp.
Processus d'attaque
L'attaquant appelle la fonction de migration de liquidité. À ce moment-là, il n'y a presque aucune cryptomonnaie dans le nouveau pool, et il n'y a presque aucun jeton Old Cell dans l'ancien pool.
Le processus de migration comprend : retirer l'ancienne liquidité et restituer les jetons correspondants aux utilisateurs ; ajouter de la nouvelle liquidité selon le ratio du nouveau pool.
En raison de la rareté des tokens Old Cell dans l'ancienne réserve, la quantité de certaines cryptomonnaies obtenues lors de la suppression de la liquidité augmente, tandis que la quantité de tokens Old Cell diminue.
Les utilisateurs n'ont besoin d'ajouter qu'une petite quantité d'une certaine cryptomonnaie et de jetons New Cell pour obtenir de la liquidité, tandis que l'excédent d'une certaine cryptomonnaie et de jetons Old Cell sera retourné à l'utilisateur.
L'attaquant supprime ensuite la liquidité du nouveau pool et échange les jetons Old Cell retournés contre une certaine cryptomonnaie.
À ce moment-là, il y a une grande quantité de jetons Old Cell dans l'ancienne piscine mais aucune crypto-monnaie, l'attaquant échange à nouveau les jetons Old Cell contre une certaine crypto-monnaie pour réaliser un profit.
L'attaquant exécute plusieurs fois l'opération de migration pour obtenir plus de profits.
Leçons et conseils
Lors de la migration de la liquidité, il convient de prendre en compte l'évolution des quantités des deux types de tokens dans les anciens et nouveaux pools ainsi que le prix actuel des tokens.
Évitez d'utiliser directement le nombre des deux tokens dans la paire de trading pour les calculs, car cela peut être facilement manipulé.
Avant la mise en ligne du code, il est essentiel de procéder à un audit de sécurité complet et minutieux afin de réduire les risques d'attaques similaires.