以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > BNB > Info

CertiK:Crema Finance被攻擊損失880萬美元事件分析_CRE:FINA

Author:

Time:1900/1/1 0:00:00

北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的CremaFinance項目遭到黑客攻擊,損失約880萬美元。

CremaFinance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。

CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶,通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim"函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。

WhaleChart:貝萊德和美國主要銀行正通過MicroStrategy購買比特幣:金色財經報道,WhaleChart在社交媒體上表示,貝萊德和美國主要銀行正在通過MicroStrategy購買創紀錄數量的比特幣。[2023/6/15 21:40:23]

CremaFinance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。

值得注意的是,與該項目名字類似的CreamFinance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中CreamFinance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。

DuneCon 2022:各主流公鏈DAU總和僅為互聯網0.05%,Web3開發者占全球開發者不足0.06%:9月19日消息,近期Redpoint Ventures總經理Tomasz Tunguz在DuneCon 2022大會中表示,各主流公鏈每日活躍用戶(DAU)累計約為250萬,而互聯網DAU為50億,目前占比僅為0.05%。此外,Web3領域約有1.6萬名開發者,而世界上有大約2700萬開發者。Web3開發者占比不足0.06%。[2022/9/19 7:05:45]

攻擊步驟

PeckShield:TOM發生Rug Pulls,已暴跌99.94%:5月16日消息,PeckShield發推表示,檢測到TOM發生Rug Pulls,代幣下跌了99.94%。目前已經有1200 BNB轉入了TornadoCash。[2022/5/16 3:19:26]

①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。

②攻擊者利用閃電貸借出了所需的token,并被用于與CremaFinance交互時的存款。

③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。

④攻擊者通過調用“Claim”函數,獲得額外代幣。

⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。

資產去向

截稿時,CertiK安全團隊預估損失總計約為878萬美元。

大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。

寫在最后

根據現有的攻擊流程和CremaFinance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tickaccount的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證,或者這些驗證可以被輕松跳過。

類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。

CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

來源:金色財經

Tags:NCEANCFINACRESupreme FinanceHurricane FinancePERI FinanceCRETA

BNB
Airdrop DAO——全面走向DeFi3.0時代 打造未來數字金融基礎設施_DRO:AIRDROP幣

2021年DeFi服務迎來快速發展。2020年內,DeFi服務已經迸發出勃勃生機,純去中心化金融服務的總價值實現了驚人的增長,目前已經突破600億美元.

1900/1/1 0:00:00
God Hates NFTs靠「抄襲」4天封神_HAT:SNFTS價格

撰文:0xLaughing,律動BlockBeats 6月20日當天NFT.NYC會場外抗議的人群6月20日,被Coinbase譽為「NFT世界的超級碗」的NFT.NYC盛會在紐約盛大開幕.

1900/1/1 0:00:00
  比特幣快速拉升800美元 加密資產市場法或2023年底生效_TRU:全球十大加密貨幣

  比特幣快速拉升800美元加密資產市場法或2023年底生效  中新經緯7月1日電1日早間,比特幣快速拉升800美元,日內漲幅擴大至3.5%。  今年以來,數字貨幣跌勢難停.

1900/1/1 0:00:00
DeSci、NFT 金融化、ETH L2 誰能拯救陷入低迷的DeFi?_DEFI:DAO

在去年的大部分時間里,DeFi一直處于低迷狀態。隨著流動性挖礦逐漸淡出焦點,投資者和散戶將注意力轉移到其他地方。DeFi冬季開始于大盤拋售前幾個月,大多數DeFi代幣從歷史高點下跌了90%以上.

1900/1/1 0:00:00
AscendEX 上線 Walken (WLKN) - 一款卓越領先的“Walk-to-Earn”游戲_ALK:Walken

2022年6月30日–?AscendEX?很高興地宣布將于2022年7月1日北京時間晚上10點上線Walken的代幣,并開放交易對$WLKN/USDT.

1900/1/1 0:00:00
歷史在不斷重復新的輪回又開始了_RUM:Arbitrage Token

什么?你告訴我你不知道李林打算賣火幣? 是的,確實有打算賣。 現在的行情不好,而且也沒有好轉的跡象.

1900/1/1 0:00:00
ads