比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

CertiK:Crema Finance被攻擊損失880萬美元事件分析_NCE

Author:

Time:1900/1/1 0:00:00

北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的CremaFinance項目遭到黑客攻擊,損失約880萬美元。

CremaFinance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。

CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶,通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim"函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。

全球票務巨頭Ticketmaster的Web3商品申請已獲美國專利商標局批準:金色財經報道,據美國專利商標局 (USPTO)注冊商標律師Mike Kondoudis在社交媒體披露,全球票務巨頭Ticketmaster的Web3商品申請已獲美國專利商標局批準,并授予該公司運營加密數字藏品和 NFT 資產線上市場的專有權。據悉,美國專利商標局還批準Ticketmaster可以使用區塊鏈技術為數字藏品提供交易和注冊服務,覆蓋藝術、娛樂、體育和流行文化領域的照片、圖像、藝術品、視頻、游戲和虛擬體驗等內容。[2023/6/22 21:53:50]

CremaFinance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。

外媒:2022年烏茲別克斯坦政府向加密公司征收超30萬美元費用:2月4日消息,援引烏茲別克斯坦加密行業監管機構在新聞發布會上透露,獲得許可的加密公司已在2022年期間支付了35億烏茲別克斯坦索姆(超過310,000美元)。目前有五個加密平臺被授權在該國合法運營,國家控制的交易所Uznex和四個較小的交易所,Crypto Trade NET、Crypto Market、Crypto Express和Coinpay。

自去年10月以來,烏茲別克斯坦的加密貨幣服務提供商需要為其活動支付固定的月費,Uznex等加密貨幣交易所需支付10,000多美元,而較小的交易平臺(也稱為“加密貨幣商”)的 500美元左右之間。

此外,根據現行法律,在烏茲別克斯坦運營的與加密貨幣交易相關的個人和組織須納稅。[2023/2/4 11:47:14]

值得注意的是,與該項目名字類似的CreamFinance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中CreamFinance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。

Coinbase表示遇到連接問題:6月21日,市場消息:加密貨幣交易所Coinbase表示遇到連接問題。(金十)[2022/6/21 4:42:59]

攻擊步驟

①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。

②攻擊者利用閃電貸借出了所需的token,并被用于與CremaFinance交互時的存款。

③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。

④攻擊者通過調用“Claim”函數,獲得額外代幣。

⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。

資產去向

截稿時,CertiK安全團隊預估損失總計約為878萬美元。

大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。

寫在最后

根據現有的攻擊流程和CremaFinance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tickaccount的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證,或者這些驗證可以被輕松跳過。

類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。

CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

來源:金色財經

Tags:ICKNCETICANCLICK價格Y2B FinanceMaziMaticPvault Finance

以太坊最新價格
比特幣長期持有者投降接近底部區域,但還沒到那一步_DCG

連鎖數據顯示,比特幣長期持有人的投降情緒最近有所加深,但尚未進入歷史底部區域。比特幣的長期持有者SOPR繼續觀察“1”以下的深層價值正如一位密碼分析師所解釋的郵政最近幾周,BTC的長期持有者一直.

1900/1/1 0:00:00
加密貨幣動蕩:破產、FTX 和 BlockFi 的三箭資本文件同意 Voyager 暫停_ZZZ

隨著又一周嚴酷的加密貨幣寒冬接近尾聲,多個重要消息傳到市場,讓一些主要行業參與者的立場更加清晰.

1900/1/1 0:00:00
7.4主流窄幅震蕩 即將再次選擇方向_Aptos

幣圈咨詢 7月4日熱點; 1.特斯拉或將在最近季報中報告BTC資產減記4.4億美元2.外媒:Tether賣空者數量正在增加3.今日恐慌與貪婪指數為14.

1900/1/1 0:00:00
2022年熊市生存指南_CUR

雖然像Terra的崩潰以及Celsius和3AC的破產這樣的事件是頭條新聞,但我們應該更關心加密業務在很大程度上是去中心化的,大多數人都在煎熬之中.

1900/1/1 0:00:00
加密游戲的未來_WEB

最初作為加密和NFT的強大用例出現的加密游戲承諾建立一個全新的視頻游戲格局,將所有權授予玩家而不僅僅是公司。然而,曾經最受歡迎的游戲的價值大規模外流是許多潛在痛點和問題的征兆.

1900/1/1 0:00:00
美國互聯網大廠“扎堆”Web3_WEB

作者:周舟 Web3,成了最近美國互聯網大廠的“熱門話題”。亞馬遜和谷歌今年為了搶占Web3云服務市場明爭暗斗、相互“撬墻角”;馬斯克和小扎則似乎“必有一戰”,他們掌控著推特、Facebook這.

1900/1/1 0:00:00
ads