FINA:CertiK：Crema Finance被攻击损失880万美元事件分析

北京时间2022年7月3日，CertiK安全团队监测到Solana链上的CremaFinance项目遭到黑客攻击，损失约880万美元。

CremaFinance是一个建立在Solana上强大的流动性协议，为交易者和流动性提供者提供各项功能。在发现黑客攻击后，该项目方暂时终止了项目运行，以防止攻击者从平台上盗取更多资金。

CertiK安全团队进行了初步调查，认为在这次黑客攻击中，攻击者通过使用Solend协议中的6个不同闪电贷来利用合约。攻击者伪造tick账户,通过存入和提取借来的代币，并调用了如下三个函数来实现攻击：“DepositFixedTokenType”，“Claim”以及“WithdrawAllTokenTypes”。当调用”Claim"函数时，黑客利用先前伪造的tick账户能够获得额外的代币。

余伟文：本次计划为将来可能推出数码港元作好准备:金色财经报道，金管局总裁余伟文表示：虽然金管局未决定会否或何时推出数码港元，但我们很高兴能启动数码港元先导计划。这是金管局与业界联手探索创新用例的良机，也为将来可能推出数码港元作好准备。我们感谢业界积极参与试验，并期待试验成果。我们亦乐见多位学术界专家参与CBDC研究。透过促成政府、业界及学术界合作，我们希望研究和发展工作能与时俱进，并能将其所得转化成切实的商机。[2023/5/18 15:11:21]

CremaFinance随后联系了攻击者并称“黑客有72小时的时间考虑成为白帽黑客，并保留80万美元”。

Uniswap与MoonPay达成合作，支持用户使用信用卡或借记卡购买加密资产:12月21日，据官方消息，Uniswap宣布与加密支付平台MoonPay达成合作，本次合作将支持用户以信用卡、借记卡或银行转账支付形式在Uniswap平台购买加密资产。目前已支持的加密资产包括DAI、ETH、MATIC、USDC、USDT、WBTC和WETH（美国用户暂不能以此形式购买WETH或WBTC）。用户可在购买加密货币后将其发送到以太坊主网、Polygon、Optimism和Arbitrum上的钱包地址。[2022/12/21 21:56:55]

值得注意的是，与该项目名字类似的CreamFinance于2021年10月也遭遇过毁灭性的闪电贷攻击，该攻击中CreamFinance被黑客盗取了约1.3亿美元资金。虽然这两起攻击事件并不相关，但这两个相似名字的项目遭遇的两起攻击都显示出了合约安全的重要性：黑客能够以惊人的方式利用闪电贷来进行各种各样的攻击。

Magic Eden创始人：过去几周网站数次宕机，已着手解决可靠性问题:5月29日消息，Magic Eden创始人Sidney在Twitter上表示，过去几周Magic Eden网站经历了数次宕机，主要原因在于流量的快速上涨以及交易机器人的问题。

Sidney表示，过去6周内热门项目的铸造使得MagicEden交易量增长了200%，每天RPC调用量达到了5亿次。虽然反机器人程序阻止了99.5%的机器人铸造请求，但仅0.5%的实际数量也非常多，所以Magic Eden已通过在铸造中收取0.001SOL的费用以及启用新的反机器人供应商来进一步阻止机器人参与。

此外，Sidney承认此前确实未重视可靠性问题，已着手在堆栈中替换RPC调用来降低错误率。[2022/5/29 3:48:33]

攻击步骤

①攻击者准备了一个假的tick账户，方便在调用“Claim”函数时使用。

②攻击者利用闪电贷借出了所需的token，并被用于与CremaFinance交互时的存款。

③攻击者调用“DepositFixTokenType”函数，通过该函数将通过闪电贷借来的金额存入相应的pool。

④攻击者通过调用“Claim”函数，获得额外代币。

⑤最后，攻击者调用“WithdrawAllTokenTypes”函数，将最初存入的代币取回。

资产去向

截稿时，CertiK安全团队预估损失总计约为878万美元。

大约7万SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY账户中，而分批被盗的资产已被转移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。这些资金被桥接到ETH主网，并被发送到0x8021b2962db803b73aa874030b0b42c202e8458f。

写在最后

根据现有的攻击流程和CremaFinance公布的信息来看，本次攻击的起因为项目方代码缺少对于tickaccount的验证。作为存储价格信息的重要数据账户，源代码可能并没有做数据来源、所有者验证，或者这些验证可以被轻松跳过。

类似的账户检查缺失屡见不鲜，可以说账户如何安全使用是Solana程序的重中之重。类似的例子包括但不限于账户所有者验证的缺失、不同用户的数据账户混用等等。

CertiK安全专家在此建议：在程序编写时需注意账户的使用和其之间的联系。

攻击发生后，CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时，CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。

来源：金色财经

标签：FINAFINANCNANSoju Financefina币今日价格Carillonium financeBerserk Finance

币赢热门资讯