Cellframe Network 因闪电贷操控池子比例遭受攻击事件分析

推荐平台	链接	平台介绍
币安网	注册链接	币安是全球领先的区块链生态系统，推出了一系列产品，其中包括最大的加密货币交易平台。我们的使命是在未来成为全球性加密货币基础架构供应商。
欧易OKX	注册链接	欧易是全球著名的数字资产交易平台之一，主要面向全球用户提供比特币、莱特币、以太币等数字资产的币币和衍生品交易服务。
HTX火币	注册链接	火币全球专业站，是火币集团旗下服务于全球专业交易用户的创新数字资产国际站，致力于发现优质的创新数字资产投资机会。

根据 Numen 链上监控，2023年6月1日10点7分55秒（UTC+8），Cellframe Network（@cellframenet）在 Binance Smart Chain 上因为流动性迁移过程中代币数量计算问题遭到黑客攻击。

黑客从中获利76112美元。

事件分析

黑客地址：

攻击交易：

预先调用交易：https://bscscan.com/tx/0xe2d496ccc3c5fd65a55048391662b8d40ddb5952dc26c715c702ba3929158cb9

流动性迁移中计算出现问题。

1. 首先，攻击者通过 DPP 的 flashloan 获得了1000个 BNB，然后利用 Pancake v3 的闪电贷功能获取了50万个 New Cell 代币。

接下来，他们将所有的 New Cell 代币换成了 BNB，导致池中的 BNB 数量接近为0。

最后，攻击者用900个 BNB 兑换成了 Old Cell 代币。

2. 需要注意的是，攻击者在攻击之前添加了 Old Cell 和 BNB 的流动性，获得 Old lp。

3. 接着，攻击者调用流动性迁移函数。此时的状态是新池子中几乎没有 BNB，老池子中几乎没有 Old Cell 代币。

迁移的过程涉及以下步骤：

首先，移除旧流动性，并将对应数量的代币返回给用户；接着，按照新池子的比例添加新的流动性。

由于旧池子中基本没有 Old Cell 代币，因此在移除流动性时获得的 BNB 数量会增加，而 Old Cell 代币的数量会减少。

Resoul 中的数值变大，Token1 的数值也变大。

用户只需添加少量的 BNB 和少量的 New Cell 代币即可获取流动性，并将多余的 BNB 和 Old Cell 代币返回给用户。

然后，重复进行迁移操作。

4. 最后，攻击者移除新池子的流动性，并将迁移返回的 Old Cell 代币兑换成 BNB。

此时，老池子中有大量的 Old Cell 代币，但没有 BNB，攻击者将 Old Cell 代币重新兑换成 BNB，从而完成盈利。

迁移流动性时应该多重考虑新池子和旧池子两种代币的数量的变化或者当前的代币价格，直接取交易对两个币种数量计算容易被操控。

此外，代码上线前应做好全面的安全审计。

推荐平台	链接	平台介绍
Gate芝麻开门	平台介绍	Gate.io芝麻开门创立于2013年，是全球真实交易量TOP10的加密货币交易平台，向全球数千万用户提供安全可靠、真实透明的数字资产交易服务。
Bitget	注册链接	Bitget的背后是一群区块链技术的早期接受者，也是区块链未来发展的信仰者，一直致力于提供安全、一站式的交易解决方案，帮助用户更聪明地交易。
Bybit	注册链接	Bybit通过数字资产与传统金融的结合，引领数字资产的生态发展。提供一流的流动性，致力于打造业内最安全、公平、高效及人性化的交易服务平台。
派网	注册链接	派网提供多样化的量化交易机器人，用户可依照自身交易需求和策略选择最适合的机器人。同时派网也提供合约交易与合约网格机器人，给予更方便的合约交易体验。