Analisis Insiden Serangan Pinjaman Flash di Cellframe Network

Pada 1 Juni 2023 pukul 10:07:55 (UTC+8), Cellframe Network diserang oleh hacker di suatu rantai cerdas karena masalah perhitungan jumlah token selama proses migrasi likuiditas. Serangan ini menyebabkan hacker meraih keuntungan sebesar 76.112 dolar.

Detail Serangan

Peretas memanfaatkan fungsi Pinjaman Flash untuk mendapatkan sejumlah besar dana dan token dengan memanipulasi rasio token dalam kolam likuiditas untuk melaksanakan serangan. Proses serangan terutama mencakup langkah-langkah berikut:

1. Mendapatkan dana: melalui Pinjaman Flash untuk mendapatkan 1000 token asli dari suatu rantai dan 500.000 token New Cell.

2. Manipulasi kolam likuiditas: menukar semua token New Cell menjadi token asli, yang menyebabkan jumlah token asli di kolam mendekati nol. Selanjutnya, tukar 900 token asli menjadi token Old Cell.

3. Menambahkan likuiditas: Sebelum serangan, peretas menambahkan likuiditas ke kolam likuiditas Old Cell dan token asli, mendapatkan Old lp.

4. Memicu Migrasi Likuiditas: Panggil fungsi migrasi likuiditas. Pada saat ini, kolam baru hampir tidak memiliki token asli, dan kolam lama hampir tidak memiliki token Old Cell.

5. Memanfaatkan celah perhitungan: Karena jumlah token Old Cell di kolam lama sangat sedikit, jumlah token asli yang diperoleh saat menghapus likuiditas meningkat, sementara jumlah token Old Cell berkurang. Ini menyebabkan pengguna hanya perlu menambahkan sedikit token asli dan token New Cell untuk mendapatkan likuiditas, sementara token yang berlebih dikembalikan kepada pengguna.

6. Menyelesaikan serangan: Hacker menghapus likuiditas dari kolam baru, dan menukarkan token Old Cell yang dikembalikan menjadi token asli. Selanjutnya, memanfaatkan situasi di mana ada banyak token Old Cell tetapi kurangnya token asli di kolam lama, token Old Cell ditukar kembali menjadi token asli, sehingga menghasilkan keuntungan.

Alasan Kerentanan dan Saran Pencegahan

Penyebab mendasar dari serangan ini terletak pada masalah perhitungan selama proses migrasi likuiditas. Penyerang memanfaatkan celah perhitungan dalam fungsi migrasi dengan memanipulasi rasio token di dalam kolam.

Untuk mencegah serangan serupa, disarankan untuk mengambil langkah-langkah berikut:

1. Pertimbangan menyeluruh: Saat memindahkan likuiditas, perlu mempertimbangkan perubahan jumlah dua jenis token di kolam lama dan baru serta harga token saat ini.

2. Hindari perhitungan sederhana: tidak seharusnya hanya mengandalkan jumlah dua jenis koin dalam pasangan perdagangan untuk perhitungan langsung, karena ini mudah dimanipulasi oleh penyerang.

3. Audit Keamanan: Sebelum kode diluncurkan, pastikan untuk melakukan audit keamanan yang menyeluruh dan ketat untuk mengidentifikasi dan memperbaiki potensi celah.

Peristiwa ini sekali lagi menekankan pentingnya keamanan dan ketahanan saat merancang dan melaksanakan operasi keuangan yang kompleks. Pihak proyek harus selalu waspada dan terus mengoptimalkan langkah-langkah keamanannya.