北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的CremaFinance項目遭到黑客攻擊,損失約880萬美元。
CremaFinance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。
CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶,通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim"函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。
CertiK:Manta Network項目Discord服務器已被入侵:金色財經報道,據CertiK監測,Manta Network項目Discord服務器已被入侵,有黑客發布虛假空投鏈接。在團隊確認已重獲對服務器的控制之前,請勿點擊任何鏈接。[2023/6/4 11:57:00]
CremaFinance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。
值得注意的是,與該項目名字類似的CreamFinance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中CreamFinance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。
NEAR將于本月啟動夜影協議第一階段并引入Chunk-Only Producers:9月9日消息,NEAR宣布將于本月啟動夜影協議第一階段并引入Chunk-Only Producers,Chunk-Only Producers僅負責在一個分片中生成區塊。NEAR計劃引入250至400名Chunk-Only Producers,該階段預計將于本月下旬啟動。
據悉,之后的第二和第三階段均將于2023年啟動,第二階段會將狀態和處理都將完全分片,第三階段則將實現動態分片,網絡將被動態拆分為分片,然后根據資源利用率進行合并,進一步提高網絡可擴展性。[2022/9/9 13:20:23]
攻擊步驟
YFII Pool2 收到首批Balancer(BAL)獎勵,社區將提案分配方式:9月3日,聚合器項目DFI.Money(YFII)收到首批Balancer(BAL)獎勵,共計BAL 679.83個,價值21814美元。該獎勵來源于YFII/DAI礦池,后續每周都將收到。社區目前正在商討獎勵分派方式。此前消息,在DFI.Money(YFII)Pool2提供流動性進行挖礦,可以同時獲得YFII和BAL獎勵。[2020/9/3]
①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。
②攻擊者利用閃電貸借出了所需的token,并被用于與CremaFinance交互時的存款。
③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。
④攻擊者通過調用“Claim”函數,獲得額外代幣。
⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。
資產去向
截稿時,CertiK安全團隊預估損失總計約為878萬美元。
大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。
寫在最后
根據現有的攻擊流程和CremaFinance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tickaccount的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證,或者這些驗證可以被輕松跳過。
類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。
CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。
Tags:CERNCEANCcertikMY Ceremonial EventFinance SportsSteer Financecertik幣價
尊敬的XT.COM用戶:XT.COM將於2022年7月4日08:00上線GMT/USDT和APE/USDTU本位永續合約以及GMT/USD和APE/USD幣本位永續合約.
1900/1/1 0:00:00尊敬的ZT用戶: ZT創新板即將上線NULS具體時間安排如下:2020年5月8日11:00開放NULS幣種充值;2020年5月8日14:00開啟NULS/USDT交易對哈薩克斯坦制定首部關于數字.
1900/1/1 0:00:00原文作者:BenEdgington,ConsenSys原文編譯:隔夜的粥,元宇宙之道注:上周,以太坊成功完成了灰色冰川硬分叉升級,將難度炸彈推遲了大約100天的時間,而對于以太坊接下來的合并.
1900/1/1 0:00:00尊敬的歐易OKX用戶: 為提升市場流動性,優化客戶交易體驗,歐易OKX將分別于2022年7月7日17:10(HKT)和7月14日17:10(HKT),調整ETH和BTC期權合約的合約乘數.
1900/1/1 0:00:00尊敬的ZT用戶: ZT創新板即將首發上線FAMA,并開啟FAMA/USDT交易對。具體時間安排如下:充值:2020年8月17日10:00;交易:2020年8月18日10:00;Neutrino關.
1900/1/1 0:00:00一、項目簡介? DOGEDIGGER只通過BitMart進行買賣。請注意,BitMart市場以外沒有官方提供的DOGEDIGGER幣.
1900/1/1 0:00:00