Cellframe Network 遭受閃電貸攻擊事件分析

2023年6月1日10時7分55秒（UTC+8），Cellframe Network 在某智能鏈上因流動性遷移過程中的代幣數量計算問題遭到黑客攻擊。此次攻擊導致黑客獲利約76,112美元。

攻擊原因及流程

攻擊的根本原因在於流動性遷移過程中的計算問題。黑客利用閃電貸功能和流動性池操縱，巧妙地利用了代幣數量計算的漏洞。

攻擊流程如下：

1. 黑客首先通過閃電貸獲取大量BNB和New Cell代幣。
2. 將所有New Cell代幣兌換成BNB，導致池中BNB數量接近零。
3. 用大量BNB兌換Old Cell代幣。
4. 在攻擊前，黑客添加了Old Cell和BNB的流動性，獲得Old lp。
5. 調用流動性遷移函數，此時新池中幾乎沒有BNB，老池中幾乎沒有Old Cell代幣。
6. 遷移過程涉及移除舊流動性並按新池比例添加新流動性。
7. 由於池中代幣比例失衡，黑客能以極少量的BNB和New Cell代幣獲取大量流動性。
8. 最後，黑客移除新池流動性，將獲得的Old Cell代幣兌換成BNB，完成盈利。

安全建議

爲防止類似攻擊，項目方在進行流動性遷移時應當：

1. 全面考慮新舊池子中兩種代幣數量的變化。
2. 考慮當前代幣價格，而非僅依賴交易對中兩種代幣的數量進行計算。
3. 在代碼上線前進行全面的安全審計。

這起事件再次強調了在DeFi項目中嚴格的安全措施和全面的代碼審計的重要性，特別是在涉及復雜的流動性操作時。