Аналіз події атаки на Cellframe Network

1 червня 2023 року о 10:07:55 (UTC+8) мережа Cellframe зазнала хакерської атаки на певному смарт-ланцюгу через проблему з обчисленням кількості токенів під час процесу міграції ліквідності. Ця атака призвела до отримання хакерами прибутку приблизно в 76,112 доларів.

Причини та процес атаки

Корінна причина атаки полягає в обчислювальних проблемах під час процесу міграції ліквідності. Хакери використовують функцію Термінові позики та маніпуляції з ліквідними пулами, вміло експлуатуючи вразливість в обчисленні кількості токенів.

Процес атаки наступний:

1. Хакер спочатку отримує велику кількість BNB і токенів New Cell за допомогою Термінові позики.
2. Обміняти всі токени New Cell на BNB, внаслідок чого кількість BNB у пулі наблизиться до нуля.
3. Використовуйте велику кількість BNB для обміну на токени Old Cell.
4. Перед атакою хакер додав ліквідність Old Cell та BNB, отримавши Old lp.
5. Викликайте функцію міграції ліквідності, у цей момент у новому пулі майже немає BNB, а в старому пулі майже немає токенів Old Cell.
6. Процес міграції передбачає видалення старої ліквідності та додавання нової ліквідності відповідно до нового співвідношення пулу.
7. Через дисбаланс у пропорціях токенів у пулі хакер може отримати велику ліквідність за допомогою дуже невеликої кількості BNB та токенів New Cell.
8. Нарешті, хакер видаляє ліквідність нового пулу, обмінює отримані токени Old Cell на BNB, завершуючи отримання прибутку.

Рекомендації з безпеки

Щоб запобігти подібним атакам, команда проекту під час переміщення ліквідності повинна:

1. Всебічно розглянути зміни в кількості двох токенів у новому та старому пулі.
2. Розгляньте поточну ціну токена, а не покладайтеся лише на кількість двох токенів у торговій парі для розрахунків.
3. Провести всебічний аудіт безпеки перед запуском коду.

Ця подія знову підкреслила важливість суворих заходів безпеки та всебічного аудиту коду в DeFi проектах, особливо коли йдеться про складні операції з ліквідністю.