前言
8月30日,知道創宇區塊鏈安全實驗室監測到以太坊上的DeFi協議CreamFinance遭遇重入漏洞襲擊,損失超1800萬美元。實驗室第一時間跟蹤本次事件并分析。
涉及對象
攻擊涉及合約地址:
0x38c40427efbaae566407e4cde2a91947df0bd22b
0x0ec306d7634314d35139d1df4a630d829475a125
Crema Finance攻擊者已歸還超800萬美元的被盜資金:7月7日消息,Solana生態流動性協議Crema Finance在Twitter上表示,經過長時間的談判,Crema Finance攻擊者同意收取45455枚SOL(約168.2萬美元)作為白帽賞金,并已歸還6064枚以太坊和23967.9枚SOL(約810萬美元)。此外,Crema Finance表示后續補償方案將在48小時內發布。[2022/7/7 1:56:42]
受害涉及合約地址:
CErc20Delegator:0x2db6c82ce72c8d7d770ba1b5f5ed0b6e075066d6
Coinbase Custody支持OM、ALK、CPU、CRE等14種加密資產存取款:金色財經報道,Coinbase Custody 現在支持$OM、$ALK、$CPU、$CRE、$CVX、$GAL、$LMR、$JUP、$NEST、$UMEE、$XSGD、$HIGH、$HOPR和$WAMPL 的存款和取款。[2022/6/8 4:11:20]
CEther:0xd06527d5e56a3495252a528c4987003b712860ee
Amp:0xff20817765cb7f73d4bde2e66e067e58d11095c2
CREAM突破170美元 24H最高漲幅84.27%:據Gate.io行情顯示,交易對CREAM/USDT幣價持續上漲,今日突破170美元,截至今日11:00,24H漲幅最高達84.27%,當前漲幅48.58%,24H最高價格177美元,當前報價170美元。據悉,CREAM/USDT交易于9月1日在Gate.io正式上線。[2020/9/8]
簡述攻擊流程
首先黑客通過合約0x38c4進行閃電貸借出啟動資金500ETH
聲音 | Morgan Creek創始人抨擊黃金支持者:比特幣比黃金更有價值:Morgan Creek創始人Anthony Pompliano今日發推抨擊黃金支持者PeterSchiff:2012年,1個比特幣需要1盎司黃金的十分之一。2019年,購買1個比特幣需要6盎司黃金。看起來,比特幣比黃金更有價值。[2020/1/10]
抵押ETH獲得憑證
通過合約0x38c4調用CErc20Delegator合約借出19,480,000AMP
通過重入漏洞繼續調用CEther合約借出355ETH
使用合約0x0ec3對合約0x38c4進行超額借貸清算
合約0x38c4轉移憑證給合約0x0ec3贖回約187ETH
歸還閃電貸
漏洞成因分析
獲利條件
borrowFresh函數在發生借貸時是先通過doTransferOut函數轉賬,再記錄最新變化
攻擊條件
doTransferOut函數包含的transfer函數會使用_callPostTransferHooks函數會回調調用合約的tokensReceived函數
總結
本次閃電貸安全事件主要是項目方在設計代幣時沒考慮到協議之間的兼容性引發的重入危機,其實在前段時間已經爆出擁有類似回調功能的ERC777代幣存在重入漏洞,如果項目方及時發現跟進,應該能減少甚至避免損失。
知道創宇區塊鏈安全實驗室再次提醒近期各鏈上頻頻爆發攻擊事件,合約安全愈發需要得到迫切重視,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:CREETHANCFINACRETH2價格Cream ETH 2Pokelon.FinanceASI finance
Kusama 7月13日下午16:33左右,Kusama網絡的第四個平行鏈插槽拍賣結束!隨后進行了1個小時的隨機結束期,在17:29左右Phala的先行網Khala以鎖定132.
1900/1/1 0:00:00眾所周知,Chia項目僅僅上線了幾個月時間,便已經成功獲得來自全球各地的超高人氣。Chia網絡的全網總空間即將達到35EiB,使其一躍成為歷史上規模最大的區塊鏈網絡之一.
1900/1/1 0:00:00PolkaBase于7.5日攜手Polkadot.club,Polkafund,CrustNetwork,PhalaNetwork,Darwinia,Bifrost,Zeitgeist.
1900/1/1 0:00:002021年5月19日-20日,第三屆世界數字資產峰會在上海寶麗嘉酒店成功舉行,在5月20日WDAS21×HuobiCharity的NFT拍賣晚宴中.
1900/1/1 0:00:00以太坊2.0是對以太坊網絡的升級,它提高了網絡的速度、效率和可擴展性,同時保持了安全性和去中心化。升級對以太坊非常重要,而這將包括三個主要階段:階段0—在信標鏈上部署和抵押.
1900/1/1 0:00:00Filecoin是一個由開發人員、企業家、存儲提供商、存儲客戶、商業領袖等組成的全球社區。IPFS是一種點對點網絡和協議,旨在使網絡更快、更安全、更開放.
1900/1/1 0:00:00