Analisis Peristiwa Serangan Pinjaman Flash pada Jaringan Cellframe

Pada 1 Juni 2023, pukul 10:07:55 (UTC+8), Cellframe Network diserang oleh hacker di suatu rantai pintar karena masalah perhitungan jumlah token selama proses migrasi likuiditas. Penyerangan ini menyebabkan hacker meraup keuntungan sekitar 76.112 dolar AS.

Alasan dan Proses Serangan

Penyebab mendasar dari serangan adalah masalah perhitungan dalam proses migrasi likuiditas. Hacker memanfaatkan fungsi Pinjaman Flash dan manipulasi kolam likuiditas, dengan cerdik mengeksploitasi celah dalam perhitungan jumlah token.

Proses serangan adalah sebagai berikut:

1. Hacker pertama-tama mendapatkan banyak BNB dan token New Cell melalui Pinjaman Flash.
2. Menukarkan semua token New Cell menjadi BNB, menyebabkan jumlah BNB di dalam kolam mendekati nol.
3. Tukar banyak BNB untuk token Old Cell.
4. Sebelum menyerang, hacker menambahkan likuiditas Old Cell dan BNB, mendapatkan Old lp.
5. Memanggil fungsi migrasi likuiditas, pada saat ini kolam baru hampir tidak memiliki BNB, dan kolam lama hampir tidak memiliki token Old Cell.
6. Proses migrasi melibatkan penghapusan likuiditas lama dan menambahkan likuiditas baru sesuai proporsi kolam baru.
7. Karena ketidakseimbangan proporsi token dalam kolam, peretas dapat memperoleh likuiditas besar dengan jumlah BNB dan token New Cell yang sangat sedikit.
8. Terakhir, hacker menghapus likuiditas kolam baru, menukarkan token Old Cell yang didapat menjadi BNB, dan menyelesaikan keuntungan.

Saran Keamanan

Untuk mencegah serangan serupa, pihak proyek harus:

1. Pertimbangkan secara menyeluruh perubahan jumlah dua jenis token di kolam lama dan baru.
2. Pertimbangkan harga token saat ini, bukan hanya bergantung pada jumlah dua token dalam pasangan perdagangan untuk perhitungan.
3. Lakukan audit keamanan menyeluruh sebelum kode diluncurkan.

Peristiwa ini sekali lagi menekankan pentingnya langkah-langkah keamanan yang ketat dan audit kode yang menyeluruh dalam proyek DeFi, terutama yang melibatkan operasi likuiditas yang kompleks.