Cellframe Network flaş kredi̇ saldirisi olayı analizi

2023 yılı 1 Haziran saat 10:07:55 (UTC+8), Cellframe Network, bir akıllı zincirde likidite göçü sürecindeki token sayım problemi nedeniyle bir saldırıya uğradı. Bu saldırı sonucunda hacker yaklaşık 76,112 dolar kazandı.

Saldırının Temel Nedeni

Likidite göçü sürecindeki hesaplamada bir sorun yaşanması, bu saldırının ana nedenidir.

Saldırı Süreci Detayı

1. Saldırgan önce Flaş Krediler aracılığıyla 1000 adet belirli bir zincirin yerel tokenini ve 500.000 adet New Cell tokenini elde eder. Ardından, tüm New Cell tokenlerini yerel tokenlere çevirir, bu da likidite havuzundaki yerel token miktarının neredeyse sıfıra inmesine neden olur. Son olarak, saldırgan 900 adet yerel tokeni Old Cell tokenleri ile değiştirir.

2. Dikkat edilmesi gereken bir nokta, saldırganların saldırıdan önce Old Cell ve yerel tokenin likiditesini önceden ekleyerek Old lp tokenlerini elde etmiş olmalarıdır.

3. Sonra, saldırgan likidite taşıma işlevini çağırdı. Bu sırada, yeni havuzda neredeyse hiç yerel token yoktu ve eski havuzda neredeyse hiç Old Cell token yoktu. Taşıma süreci aşağıdaki adımları içerir:

   • Eski likiditeyi kaldırın ve karşılık gelen miktarda token'i kullanıcılara iade edin
   • Yeni havuzların oranına göre yeni likidite ekleyin

   Eski havuzda neredeyse hiç Old Cell tokeni bulunmadığı için, likidite kaldırıldığında elde edilen yerel token miktarı artar ve Old Cell token miktarı azalır. Bu, kullanıcıların sadece az miktarda yerel token ve New Cell token ekleyerek likidite elde etmelerini sağlar, fazla yerel token ve Old Cell token ise kullanıcılara iade edilir.

4. Son olarak, saldırgan yeni havuzun likiditesini kaldırır ve göç eden Old Cell tokenlerini yerel token ile takas eder. Bu noktada, eski havuzda çok sayıda Old Cell tokeni ama neredeyse hiç yerel token yoktur, saldırgan Old Cell tokenlerini yeniden yerel token ile takas ederek kar elde eder. Ardından, saldırgan göç işlemini tekrarlar.

Güvenlik Önerileri

1. Likidite transferi sırasında, yeni ve eski havuzlardaki iki tokenin miktarındaki değişiklikleri ve mevcut token fiyatlarını kapsamlı bir şekilde değerlendirmelidir. Sadece işlem çiftindeki iki tokenin miktarına dayanarak hesaplama yapmak, kolaylıkla manipüle edilebilir.

2. Kodun yayına alınmadan önce, potansiyel açıkları tespit etmek ve düzeltmek için kapsamlı ve derinlemesine bir güvenlik denetimi yapılmalıdır.

Bu olay, merkeziyetsiz finans (DeFi) alanında güvenlik ve kod kalitesinin önemini bir kez daha vurguladı. Proje sahipleri, kullanıcı varlıklarını korumak ve ekosisteminin sağlıklı gelişimini sürdürmek için sürekli olarak dikkatli olmalı ve güvenlik önlemlerini geliştirmelidir.