Cellframe Network 遭受閃電貸攻擊事件分析

2023年6月1日10點7分55秒（UTC+8），Cellframe Network 在某區塊鏈網路上因流動性遷移過程中的代幣數量計算問題遭到黑客攻擊。這次攻擊導致黑客獲利約76,112美元。

攻擊過程分析

攻擊者首先通過閃電貸獲取了大量資金和代幣，然後通過一系列操作擾亂了交易池的平衡：

1. 通過閃電貸獲得1000個某加密貨幣和50萬個New Cell代幣。
2. 將所有New Cell代幣兌換成某加密貨幣，導致池中該加密貨幣數量接近於零。
3. 用900個該加密貨幣兌換成Old Cell代幣。

值得注意的是，攻擊者在攻擊前已經爲Old Cell和某加密貨幣添加了流動性，獲得了相應的流動性代幣。

攻擊核心

攻擊者巧妙利用了流動性遷移函數中的計算漏洞。當調用遷移函數時，由於新舊池子中代幣比例嚴重失衡，導致在移除舊流動性時獲得的某加密貨幣數量激增，而Old Cell代幣數量大幅減少。

這使得攻擊者只需添加少量的某加密貨幣和New Cell代幣就能獲取大量流動性，同時獲得額外的某加密貨幣和Old Cell代幣。

攻擊最後階段

1. 攻擊者移除新池子的流動性。
2. 將遷移返回的Old Cell代幣兌換成某加密貨幣。
3. 利用老池子中大量Old Cell代幣和極少量某加密貨幣的失衡狀態，將Old Cell代幣重新兌換成某加密貨幣，實現盈利。
4. 重復執行遷移操作，進一步增加收益。

安全建議

1. 在進行流動性遷移時，應全面考慮新舊池子中兩種代幣數量的變化及當前代幣價格。
2. 避免僅依賴交易對中兩種代幣的數量進行計算，因爲這容易被操縱。
3. 在代碼上線前進行全面且嚴格的安全審計，以發現並修復潛在的漏洞。

這次事件再次強調了在設計和實施復雜的金融操作時，全面的安全考慮和嚴格的代碼審查的重要性。它也提醒我們，在快速發展的加密貨幣領域，安全永遠是首要考慮的因素。