慢雾：Cellframe 被黑简析

据慢雾安全团队情报，2023 年 6 月 1 日，Cellframe 遭到闪电贷攻击，Cellframe ERC20 v2 价格下跌 41.2%。慢雾安全团队第一时间介入分析，并将结果分享如下：

相关信息

攻击者地址：

0x2525c811EcF22Fc5fcdE03c67112D34E97DA6079

攻击者合约地址：

0x1e2a251b29e84e1d6d762c78a9db5113f5ce7c48

攻击交易：

0x943c2a5f89bc0c17f3fe1520ec6215ed8c6b897ce7f22f1b207fea3f79ae09a6

攻击者添加 LP(OLD) 交易：

慢雾：过去一周Web3生态因安全事件损失约2400万美元:6月19日消息，据慢雾发推称，过去一周Web3生态系统因安全事件损失约2400万美元，包括Atlantis Loans、Ben Armstrong、TrustTheTrident、FPG、Sturdy、Pawnfi、Move VM、Hashflow、DEP/USDT与LEV/USDC、Midas Capital，总计23,795,800美元。[2023/6/19 21:46:18]

0xe2d496ccc3c5fd65a55048391662b8d40ddb5952dc26c715c702ba3929158cb9

前置信息

此次攻击中出现多个新旧合约，我们将使用 LpMigration 合约中新旧合约的参数名作为本次攻击分析中的合约名。

慢雾：疑似Gemini相关地址在过去5小时内共转出逾20万枚ETH:金色财经消息，慢雾监测显示，疑似加密交易所Gemini相关地址（0xea3ec2a08fee18ff4798c2d4725ded433d94151d）已在过去5小时内归集并转出逾20万枚ETH（超3亿美元）。[2022/7/19 2:22:08]

address OLD_CELL: 0xf3E1449DDB6b218dA2C9463D4594CEccC8934346

address LP_OLD: 0x06155034f71811fe0D6568eA8bdF6EC12d04Bed2

address CELL: 0xd98438889Ae7364c7E2A3540547Fad042FB24642

慢雾：Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息，Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析，攻击者（0x0d0...D00）获利超 1 亿美元，包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD，在以太坊链攻击者将大部分代币转移到两个新钱包地址，并将代币兑换为 ETH，接着将 ETH 均转回初始地址（0x0d0...D00），目前地址（0x0d0...D00）约 85,837 ETH 暂无转移，同时，攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]

address LP_NEW: 0x1c15f4E3fd885a34660829aE692918b4b9C1803d

声音 | 慢雾：ETDP钱包连续转移近2000 ETH到Bitstamp交易所，项目方疑似跑路:据慢雾科技反(AML)系统监测显示，自北京时间 12 月 16 日凌晨 2 点开始，ETDP 项目方钱包(地址 0xE1d9C35F…19Dc1C3)连续转移近 2000 ETH 到 Bitstamp 交易所，另有 3800 ETH 分散在 3 个新地址中，未发生进一步动作。慢雾安全团队在此提醒交易所、钱包注意加强地址监控，避免相关恶意资金流入平台。[2019/12/16]

具体细节分析

1. 通过 DODO 的 DPPOracle 闪电贷 1000 个 BNB。

动态 | 慢雾：10 月发生多起针对交易所的提币地址劫持替换攻击:据慢雾区块链威胁情报(BTI)系统监测及慢雾 AML 数据显示，过去的 10 月里发生了多起针对数字货币交易所的提币地址劫持替换攻击，手法包括但不限于：第三方 JS 恶意代码植入、第三方 NPM 模块污染、Docker 容器污染。慢雾安全团队建议数字货币交易所加强风控措施，例如：1. 密切注意第三方 JS 链接风险；2. 提币地址应为白名单地址，添加时设置双因素校验，用户提币时从白名单地址中选择，后台严格做好校验。此外，也要多加注意内部后台的权限控制，防止内部作案。[2019/11/1]

2. 通过 PancakeSwap V3 闪电贷 50 万枚 CELL。

3. 攻击者在 PancakeSwap V2 LP_NEW 池子中 ，将闪电贷来的 50 万枚 CELL Token 全部 swap 为 50 枚 BNB。这时，LP_NEW 池中仅剩 8 枚 BNB，而 CELL 有 55 万枚。

4. 紧接着，攻击者在另外一个 PancakeSwap V2 池子 LP_OLD 池中，将 900 枚 BNB swap 为 OLD_CELL。此时 LP_OLD 中的 BNB 数量为 902 枚，OLD_CELL 仅有 7 枚。

5. 在攻击者将 BNB 兑换成 OLD_CELL 后，我们发现攻击者直接调用 LpMigration 合约的 migrate 函数进行 LP 迁移。奇怪的是，在我们刚刚的分析里，攻击者并没有获取 LP Token 的操作，那么这些 LP Token 又是从哪里来的呢？

6. 于是回到攻击合约，通过攻击合约的前一笔交易可以发现，攻击者在交易中向 LP_OLD 池子添加流动性，获取 LP(OLD) Token。

7. 攻击者对 LP_OLD 池的 LP(OLD) 进行连续 migrate 操作，细节如下：

先调用 migrateLP 函数移除 LP(OLD) 的流动性，并将代币返还给用户。由于池子 LP_OLD 中的 BNB 代币很多，在移除流动性时，计算所获得的 BNB 数量会增加，OLD_CELL 减少。随后，在 LP_NEW 池中，getReserves 获取到 BNB 和 CELL 的数量。由于之前的 swap 操作，LP_NEW 池中的 BNB 数量少，CELL 数量多，所以计算出来的 resoult 值会偏大，使得新计算出的 CELL 的 token1 值也偏大。

8. 然而，原本 LpMigration 合约中又是存在 CELL 代币的，所以攻击者添加流动性所用的 token1 代币 CELL 都来自 LpMigration 合约。随后将计算出的结果添加流动性到 ROUTER_V2 池中。（PS: 这也是为什么在攻击发生后，Cellframe: Deployer 会通过 withdrawCELL() 函数将合约中的 CELL 代币全部取出）

9. 也就是说，攻击者利用 LP_OLD 池中 BNB 多，OLD_CELL 少，通过移除流动性获取到更多的 BNB。而在 LP_NEW 池中 BNB 少，CELL 多的情况下，以少量的 BNB 和 CELL 就可以添加流动性。攻击者通过多次 migrate 操作获利。

10. 最后，攻击者将 LP_NEW 的流动性移除，将 OLD_CELL 在 LP_OLD 池中兑换为 BNB，并在一个新的 CELL-BUSD 池中先兑换成 BUSD 再兑换成 BNB，偿还 FlashLoan，获利 245.522826177178247245 BNB。

总结

此次攻击的核心在于利用流动性迁移计算，攻击者操纵两个不同池子中的流动性致其不平衡，进而套利。

慢雾科技

个人专栏

阅读更多

区块律动BlockBeats

曼昆区块链法律

Foresight News

GWEI Research

吴说区块链

西柚yoga

ETH中文

金色早8点

金色财经 子木

ABCDE

0xAyA

标签：CELLCELBNBETHecell币的价值CELR币IBNB FinanceSheBollETH Commerce

Uniswap热门资讯