北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的Crema Finance項目遭到黑客攻擊,損失約880萬美元。
Crema Finance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。
CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶, 通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim "函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。
CertiK:Base Name Service basenameapp項目Discord服務器已被入侵:金色財經消息,據CertiK監測,Base Name Service @basenameapp 項目Discord服務器已被入侵。在團隊確認他們重新獲得服務器的控制權之前,不要點擊任何鏈接。[2023/6/1 11:51:01]
Crema Finance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。
值得注意的是,與該項目名字類似的Cream Finance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中Cream Finance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。
mStable將在未來兩周內向三個Balancer資金池分發32.5萬 MTA:據官方消息,穩定幣聚合協議mStable(MTA)宣布將在接下來的11天內向 Balancer 上的三個資金流動池(mUSD/USDC、mUSD/WETH 以及 mUSD/MTA)提供流動性的用戶分發32.5萬枚MTA (價值約110萬美元)。八月份之后后,mStable將根據項目開放式獎勵池規則來重置和自動執行獎勵。[2020/7/21]
攻擊步驟
①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。
聲音 | 分析師Larry Cermak:“幣安停止對美國用戶提供服務”證明了監管機構正打擊非美國交易所:The Block分析師Larry Cermak 6月14日發推稱:在過去的6個月里,幣安網站估計有近1.85億的訪客,其中至少有3000萬來自美國。這(幣安停止對美國用戶提供服務)是一個令人震驚的聲明,也證明了監管機構正在打擊非美國交易所。此外,現在請記住這條消息是在Bittrex和Poloniex開始屏蔽美國客戶訪問數十種不同的山寨幣之后不久發布的。所有的這些都是有關聯的,對于美國客戶來說,交易帶有不確定注冊狀態的山寨幣將變得困難得多。[2019/6/14]
②攻擊者利用閃電貸借出了所需的token,并被用于與Crema Finance交互時的存款。
③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。
④攻擊者通過調用“Claim”函數,獲得額外代幣。
⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。
資產去向
截稿時,CertiK安全團隊預估損失總計約為878萬美元。
大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。
寫在最后
根據現有的攻擊流程和Crema Finance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tick account的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證, 或者這些驗證可以被輕松跳過。
類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。
CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警(攻擊、欺詐、跑路等)相關的信息。
Tags:CERANCNCEERTcer幣是不是跑路了Ethereum Stake FinanceTRUSTY FinanceBitgert
Chainbase 開發者在本文中結合自身經歷,分享一些關于 Web2 開發者如何更好地進入 Web3 的經驗.
1900/1/1 0:00:001.上海市人民政府:支持龍頭企業探索NFT交易平臺建設圍繞數字新產業、數據新要素、數字新基建、智能新終端等重點領域,加強數據、技術、企業、空間載體等關鍵要素協同聯動,加快進行數字經濟發展布局.
1900/1/1 0:00:00從 2020 年開始,整個加密貨幣市場經歷了一波巨大的牛市,這波牛市浪潮也讓很多賽道和熱點下的資產獲得了巨大的漲幅,不乏千倍幣甚至萬倍幣.
1900/1/1 0:00:00互聯網剛興起之時,電腦病、木馬程序、垃圾釣魚郵件等問題層出不窮,直到人手一只小獅子這種情況才得以改善。經過二十余年的發展,時至2022年,面向互聯網的攻擊仍未停止.
1900/1/1 0:00:00以太坊名稱服務(ENS)的注冊量在過去的一周激增,數據顯示過去7天注冊了108,000個ENS域名.
1900/1/1 0:00:00來源:老雅痞 散戶通過NFT和游戲加入將加密貨幣捧上神壇的往往是普通用戶。但技術不會從0直接跳到100。從某種意義上說,它不會在一夜之間從秘密的軍事技術變得普及大眾.
1900/1/1 0:00:00