Análisis del incidente de ataque de flash loan de Cellframe Network

El 1 de junio de 2023 a las 10:07:55 (UTC+8), Cellframe Network fue atacado por un hacker en una cadena inteligente debido a un problema en el cálculo de la cantidad de tokens durante el proceso de migración de liquidez. Este incidente resultó en que el hacker obtuviera ganancias de aproximadamente 76,112 dólares.

Detalles del proceso de ataque

1. Los hackers primero obtienen 1000 tokens nativos de cierta cadena y 500,000 tokens New Cell a través de Flash Loans.
2. Intercambiar todos los tokens New Cell por tokens nativos, lo que hace que la cantidad de tokens nativos en el grupo de comercio se acerque a cero.
3. Usar 900 tokens nativos para canjear tokens Old Cell.
4. Antes del ataque, el hacker ya había añadido liquidez de Old Cell y del token nativo, obteniendo Old lp.
5. A continuación, llama a la función de migración de liquidez. En este momento, el nuevo grupo tiene casi ningún token nativo y el grupo antiguo tiene casi ningún token Old Cell.

El proceso de migración incluye:

• Eliminar la liquidez antigua y devolver los tokens correspondientes a los usuarios.
• Añadir nueva liquidez según la proporción del nuevo grupo.

Debido a la escasez de tokens Old Cell en la antigua piscina, los tokens nativos obtenidos al retirar liquidez aumentan y los tokens Old Cell disminuyen. Esto lleva a que los usuarios solo necesiten una pequeña cantidad de tokens nativos y tokens New Cell para obtener liquidez, y los tokens sobrantes se devuelven a los usuarios.

6. Los hackers eliminan la liquidez del nuevo pool y convierten los tokens Old Cell devueltos en tokens nativos.
7. En este momento, hay una gran cantidad de tokens Old Cell en el antiguo fondo, pero falta el token nativo. El atacante volverá a intercambiar Old Cell por el token nativo para obtener ganancias.
8. Repite la operación de migración para aumentar los ingresos.

Sugerencias de seguridad

1. Al migrar la liquidez, se debe tener en cuenta de manera integral el cambio en la cantidad de los dos tokens en los antiguos y nuevos pools, así como el precio actual, para evitar calcular directamente la cantidad de tokens del par de negociación.
2. Es crucial realizar una auditoría de seguridad completa antes del lanzamiento.
3. Al diseñar contratos inteligentes, se deben considerar situaciones de mercado extremas y aumentar los mecanismos de verificación de seguridad.
4. Realizar revisiones de código y escaneos de vulnerabilidades de forma regular, y reparar a tiempo los riesgos potenciales.
5. Establecer un mecanismo de respuesta a emergencias para manejar rápidamente los posibles incidentes de seguridad.

Este incidente vuelve a enfatizar la necesidad de que los proyectos DeFi presten gran atención a la seguridad durante su diseño e implementación. Los equipos de proyectos deben mejorar constantemente las medidas de seguridad para proteger los activos de los usuarios y mantener el desarrollo saludable del ecosistema.