比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > ADA > Info

CertiK:Crema Finance被攻擊損失880萬美元事件分析_NCE

Author:

Time:1900/1/1 0:00:00

北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的CremaFinance項目遭到黑客攻擊,損失約880萬美元。

CremaFinance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。

CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶,通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim"函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。

CertiK:NEO TOKYO項目Discord服務器遭到攻擊:金色財經消息,據CertiK監測,NEO TOKYO項目Discord服務器遭到攻擊,并發布了一條釣魚鏈接。請社區用戶在頻道修復之前不要點擊任何鏈接。[2022/12/18 21:52:23]

CremaFinance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。

值得注意的是,與該項目名字類似的CreamFinance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中CreamFinance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。

近24小時,Balancer上各交易對交易量總和超2834萬美金:據Coingecko數據,近24小時,去中心化交易所Balancer上交易對成交額總和超2834萬美金。其中,交易對YFII/DAI、BAL/ETH、WNXM/ETH交易額分列前三位,分別為410萬美金、383萬美金、284萬美金。[2020/8/22]

攻擊步驟

①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。

②攻擊者利用閃電貸借出了所需的token,并被用于與CremaFinance交互時的存款。

動態 | CoolBitX和MetaCert合作 阻止數字貨幣地址網絡釣魚攻擊:據CoolBitX官網消息,硬件錢包開發商CoolBitX宣布與安全軟件公司MetaCert合作,為數字貨幣交易提供安全性和透明度。CoolBitX將MetaCert協議的地址注冊表直接集成到CoolWallet S移動應用程序中。[2018/7/31]

③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。

④攻擊者通過調用“Claim”函數,獲得額外代幣。

⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。

資產去向

截稿時,CertiK安全團隊預估損失總計約為878萬美元。

大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。

寫在最后

根據現有的攻擊流程和CremaFinance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tickaccount的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證,或者這些驗證可以被輕松跳過。

類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。

CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags:CERCERTERTNCECERBERUSCERT立方根NerthusAI Link Finance

ADA
金色觀察|流動性危機繼續:加密借貸平臺的現狀_區塊鏈

多個加密借貸平臺正在經歷著一次重大壓力測試,多米諾骨牌倒下,涉及Celsius的流動性危機可能只是加密借貸領域更廣泛崩潰的開始.

1900/1/1 0:00:00
a16z:Web3建設者的去中心化指南:原則、模型、方法(上)_WEB

原文作者:MilesJennings權力去中心化的承諾已經被大量討論和辯論,從它為什么重要到誰將控制互聯網軟件的更大問題.

1900/1/1 0:00:00
為什么說這8個NFT實例具有里程碑式意義?_NFT

實際上從Beeple的作品破圈讓很多人知道NFT到今天,時間還不到18個月。但行業的變化實在太快,新的熱點目不暇接,有種稍縱即逝的感覺.

1900/1/1 0:00:00
行業警鐘:3萬元就能買一個數字藏品交易平臺_COI

?作者:北商金融調查小組?買數字藏品嗎?1000元制作一張、不限量復制的那種。2022年以來,數字藏品交易熱度不減,從最初繪畫、音樂作品到一雙鞋、一張門票,從流行潮牌到非遺文化,從互聯網到餐飲界.

1900/1/1 0:00:00
深度解讀Layer2可擴展性:項目如何在ZK-Rollups和子網之間進行選擇?_ROLL

背景 最近,像Solana和BNBChain這樣流行的一層網絡由于同時運行著DeFi協議、NFT市場和Web3游戲而導致網絡宕機。同樣,以太坊也因網絡擁堵和困擾其網絡的昂貴Gas費而飽受批評.

1900/1/1 0:00:00
山雨欲來風滿樓 數字藏品平臺將迎巨變_NFT

從「野蠻生長」到「價值回歸」。所謂風為雨頭,暴雨將至先刮大風。若說年初的數藏行業之風還是暖風熏得藏友醉,直把平臺作金臺的話,那么3月末至今的幾陣平地而起的狂風已讓行業為之震動.

1900/1/1 0:00:00
ads