Analyse de l'incident d'attaque par Prêts Flash du Cellframe Network
Le 1er juin 2023 à 10h07 et 55 secondes (UTC+8), Cellframe Network a été victime d'une attaque de hacker sur la Binance Smart Chain, où l'attaquant a profité d'une faille de calcul des quantités de tokens lors du processus de migration de liquidité pour gagner 76 112 dollars.
Détails de l'attaque
L'attaquant commence par obtenir 1000 BNB et 500 000 jetons New Cell via un Prêt Flash. Ensuite, ils échangent tous les jetons New Cell contre des BNB, ce qui fait que la quantité de BNB dans le pool de liquidités approche de zéro. Immédiatement après, l'attaquant échange 900 BNB contre des jetons Old Cell.
Il convient de noter que l'attaquant avait déjà ajouté de la liquidité pour Old Cell et BNB avant de mener l'attaque, obtenant ainsi Old lp.
La clé de l'attaque réside dans l'appel de la fonction de migration de liquidité. À ce stade, il y a presque pas de BNB dans le nouveau pool, tandis qu'il y a presque pas de jetons Old Cell dans l'ancien pool. Le processus de migration comprend le retrait de l'ancienne liquidité et l'ajout de la nouvelle liquidité selon le ratio du nouveau pool. En raison de la rareté des jetons Old Cell dans l'ancien pool, le nombre de BNB obtenu lors du retrait de liquidité augmente, tandis que le nombre de jetons Old Cell diminue.
Cela permet aux utilisateurs d'ajouter seulement une petite quantité de BNB et de jetons New Cell pour obtenir de la liquidité, tandis que les BNB excédentaires et les jetons Old Cell sont retournés à l'utilisateur. L'attaquant retire ensuite la liquidité du nouveau pool et échange les jetons Old Cell retournés contre des BNB, réalisant ainsi un profit.
Origine de l'attaque
Le problème de calcul lors du processus de migration de liquidité est la cause fondamentale de cette attaque. L'attaquant a exploité la faille du mécanisme de migration en manipulant le ratio de tokens dans le pool.
Conseils de prévention
Lors de la migration de liquidité, il convient de prendre en compte l'évolution des quantités des deux jetons dans l'ancienne et la nouvelle piscine ainsi que le prix actuel des jetons.
Évitez de vous fier uniquement à la quantité des deux tokens dans la paire de trading pour faire des calculs, car cela peut être manipulé.
Avant la mise en ligne du code, il est impératif de procéder à un audit de sécurité complet et rigoureux.
Cet événement souligne une fois de plus la nécessité pour les projets DeFi d'être particulièrement prudents lors de la conception et de la mise en œuvre des mécanismes de gestion de la liquidité, afin de prévenir les risques d'attaques potentiels.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
6 J'aime
Récompense
6
5
Reposter
Partager
Commentaire
0/400
AirdropHarvester
· Il y a 8h
Cette vague de profiteurs se passe plutôt bien.
Voir l'originalRépondre0
ser_we_are_ngmi
· Il y a 8h
Encore un Prêt Flash, ça ne finit jamais.
Voir l'originalRépondre0
DeepRabbitHole
· Il y a 8h
也就这点钱 丢人丢到家了
Répondre0
GateUser-7b078580
· Il y a 8h
Selon les statistiques horaires, 76112 dollars ne représentent qu'une goutte d'eau dans l'océan pour l'ensemble de la BSC. Ça ne fait ni chaud ni froid.
Voir l'originalRépondre0
LiquiditySurfer
· Il y a 8h
Il y a encore des requins qui jouent au surf à faible profondeur dans la piscine.
Cellframe Network a subi une attaque par Prêts Flash, une vulnérabilité de migration de Liquidité a entraîné une perte de 76 000 dollars.
Analyse de l'incident d'attaque par Prêts Flash du Cellframe Network
Le 1er juin 2023 à 10h07 et 55 secondes (UTC+8), Cellframe Network a été victime d'une attaque de hacker sur la Binance Smart Chain, où l'attaquant a profité d'une faille de calcul des quantités de tokens lors du processus de migration de liquidité pour gagner 76 112 dollars.
Détails de l'attaque
L'attaquant commence par obtenir 1000 BNB et 500 000 jetons New Cell via un Prêt Flash. Ensuite, ils échangent tous les jetons New Cell contre des BNB, ce qui fait que la quantité de BNB dans le pool de liquidités approche de zéro. Immédiatement après, l'attaquant échange 900 BNB contre des jetons Old Cell.
Il convient de noter que l'attaquant avait déjà ajouté de la liquidité pour Old Cell et BNB avant de mener l'attaque, obtenant ainsi Old lp.
La clé de l'attaque réside dans l'appel de la fonction de migration de liquidité. À ce stade, il y a presque pas de BNB dans le nouveau pool, tandis qu'il y a presque pas de jetons Old Cell dans l'ancien pool. Le processus de migration comprend le retrait de l'ancienne liquidité et l'ajout de la nouvelle liquidité selon le ratio du nouveau pool. En raison de la rareté des jetons Old Cell dans l'ancien pool, le nombre de BNB obtenu lors du retrait de liquidité augmente, tandis que le nombre de jetons Old Cell diminue.
Cela permet aux utilisateurs d'ajouter seulement une petite quantité de BNB et de jetons New Cell pour obtenir de la liquidité, tandis que les BNB excédentaires et les jetons Old Cell sont retournés à l'utilisateur. L'attaquant retire ensuite la liquidité du nouveau pool et échange les jetons Old Cell retournés contre des BNB, réalisant ainsi un profit.
Origine de l'attaque
Le problème de calcul lors du processus de migration de liquidité est la cause fondamentale de cette attaque. L'attaquant a exploité la faille du mécanisme de migration en manipulant le ratio de tokens dans le pool.
Conseils de prévention
Lors de la migration de liquidité, il convient de prendre en compte l'évolution des quantités des deux jetons dans l'ancienne et la nouvelle piscine ainsi que le prix actuel des jetons.
Évitez de vous fier uniquement à la quantité des deux tokens dans la paire de trading pour faire des calculs, car cela peut être manipulé.
Avant la mise en ligne du code, il est impératif de procéder à un audit de sécurité complet et rigoureux.
Cet événement souligne une fois de plus la nécessité pour les projets DeFi d'être particulièrement prudents lors de la conception et de la mise en œuvre des mécanismes de gestion de la liquidité, afin de prévenir les risques d'attaques potentiels.