Analisis Kejadian Serangan Pinjaman Flash pada Cellframe Network

Pada 1 Juni 2023 pukul 10:07:55 (UTC+8), Cellframe Network diserang oleh peretas di suatu rantai pintar karena masalah perhitungan jumlah token selama proses migrasi likuiditas. Peristiwa ini menyebabkan peretas meraih keuntungan sekitar 76112 dolar.

Penjelasan Proses Serangan

1. Hacker pertama-tama mendapatkan 1000 token asli dari suatu rantai dan 500.000 token New Cell melalui Pinjaman Flash.
2. Menukar semua token New Cell menjadi token asli, menyebabkan jumlah token asli di kolam perdagangan mendekati nol.
3. Menggunakan 900 token asli untuk menukar dengan token Old Cell.
4. Sebelum serangan, peretas telah menambahkan likuiditas Old Cell dan token asli, mendapatkan Old lp.
5. Kemudian panggil fungsi migrasi likuiditas. Pada saat ini, kolam baru hampir tidak memiliki token asli, dan kolam lama hampir tidak memiliki token Old Cell.

Proses migrasi termasuk:

• Menghapus likuiditas lama, mengembalikan token yang sesuai kepada pengguna.
• Tambahkan likuiditas baru sesuai dengan proporsi kolam baru.

Karena kelangkaan token Old Cell di kolam lama, jumlah token asli yang diperoleh saat menghapus likuiditas meningkat, sedangkan token Old Cell berkurang. Ini menyebabkan pengguna hanya memerlukan sedikit token asli dan token New Cell untuk mendapatkan likuiditas, kelebihan token akan dikembalikan kepada pengguna.

6. Hacker menghapus likuiditas kolam baru, dan menukarkan token Old Cell yang dikembalikan menjadi token asli.
7. Pada saat ini, terdapat banyak token Old Cell di kolam lama namun kekurangan token asli, penyerang akan menukar Old Cell kembali menjadi token asli untuk mendapatkan keuntungan.
8. Ulangi operasi migrasi untuk meningkatkan keuntungan.

Saran Keamanan

1. Saat melakukan migrasi likuiditas, harus mempertimbangkan secara menyeluruh perubahan jumlah dua jenis token di kolam lama dan baru serta harga saat ini, menghindari penggunaan langsung jumlah token pasangan untuk perhitungan.
2. Melakukan audit keamanan secara menyeluruh sebelum peluncuran sangat penting.
3. Saat merancang kontrak pintar, perlu mempertimbangkan situasi pasar yang ekstrem dan menambah mekanisme pemeriksaan keamanan.
4. Secara berkala melakukan pemeriksaan kode dan pemindaian kerentanan, serta segera memperbaiki risiko potensial.
5. Membangun mekanisme respons darurat untuk menangani kemungkinan kejadian keamanan dengan cepat.

Kejadian ini sekali lagi menekankan perlunya proyek DeFi untuk sangat memperhatikan keamanan dalam proses perancangan dan pelaksanaan. Pihak proyek harus terus meningkatkan langkah-langkah keamanan untuk melindungi aset pengguna dan memelihara perkembangan ekosistem yang sehat.