木星链 木星链
Ctrl+D收藏木星链
首页 > XMR > 正文

CER:CertiK:Crema Finance被攻击损失880万美元事件分析

作者:

时间:1900/1/1 0:00:00

北京时间2022年7月3日,CertiK安全团队监测到Solana链上的CremaFinance项目遭到黑客攻击,损失约880万美元。

CremaFinance是一个建立在Solana上强大的流动性协议,为交易者和流动性提供者提供各项功能。在发现黑客攻击后,该项目方暂时终止了项目运行,以防止攻击者从平台上盗取更多资金。

CertiK安全团队进行了初步调查,认为在这次黑客攻击中,攻击者通过使用Solend协议中的6个不同闪电贷来利用合约。攻击者伪造tick账户,通过存入和提取借来的代币,并调用了如下三个函数来实现攻击:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。当调用”Claim"函数时,黑客利用先前伪造的tick账户能够获得额外的代币。

TikTok网红Spencer X加入Waves Ducks元宇宙:10月16日消息,Waves Tech宣布,TikTok网红Spencer X加入Waves Ducks Metaverse,为一只非常稀有和有价值的全新NFT鸭子贡献其形象和声音。Beatbox歌手Spencer X是TikTok第九大受欢迎的创作者。

总共有4只不同的Spencer X鸭子,100%稀有。其中一只于10月14日拍卖,这只鸭子带有Spencer X自己录制的特殊声音,成为首个拥有声音的Waves Ducks NFT。另外三只Spencer X鸭子将通过孵化成为头奖鸭在游戏中提供给玩家。[2021/10/16 20:34:34]

CremaFinance随后联系了攻击者并称“黑客有72小时的时间考虑成为白帽黑客,并保留80万美元”。

Kava旗下应用Harvest.io通过Certik的代码审计:区块链安全公司CertiK对Kava旗下应用Harvest.io模块的代码系统进行了审计,未发现重大或关键漏洞,验证了应用的可信度。

Harvest.io是一个跨链货币市场,也是首批搭建在Kava区块链上的应用之一。Harvest支持加密用户能够使用主流加密货币进行借贷和赚取收益。[2020/10/27]

值得注意的是,与该项目名字类似的CreamFinance于2021年10月也遭遇过毁灭性的闪电贷攻击,该攻击中CreamFinance被黑客盗取了约1.3亿美元资金。虽然这两起攻击事件并不相关,但这两个相似名字的项目遭遇的两起攻击都显示出了合约安全的重要性:黑客能够以惊人的方式利用闪电贷来进行各种各样的攻击。

NBA球员Spencer Dinwiddie与加密借贷平台Cred达成合作:金色财经报道,NBA球员Spencer Dinwiddie正在与加密货币借贷平台Cred合作。该合作伙伴关系旨在促进基于区块链的替代方案,使用户能够获得稳定币和其他加密货币的利息。同时,用户可以使用其加密资产作为抵押来获得贷款。[2020/3/26]

攻击步骤

①攻击者准备了一个假的tick账户,方便在调用“Claim”函数时使用。

②攻击者利用闪电贷借出了所需的token,并被用于与CremaFinance交互时的存款。

③攻击者调用“DepositFixTokenType”函数,通过该函数将通过闪电贷借来的金额存入相应的pool。

④攻击者通过调用“Claim”函数,获得额外代币。

⑤最后,攻击者调用“WithdrawAllTokenTypes”函数,将最初存入的代币取回。

资产去向

截稿时,CertiK安全团队预估损失总计约为878万美元。

大约7万SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY账户中,而分批被盗的资产已被转移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。这些资金被桥接到ETH主网,并被发送到0x8021b2962db803b73aa874030b0b42c202e8458f。

写在最后

根据现有的攻击流程和CremaFinance公布的信息来看,本次攻击的起因为项目方代码缺少对于tickaccount的验证。作为存储价格信息的重要数据账户,源代码可能并没有做数据来源、所有者验证,或者这些验证可以被轻松跳过。

类似的账户检查缺失屡见不鲜,可以说账户如何安全使用是Solana程序的重中之重。类似的例子包括但不限于账户所有者验证的缺失、不同用户的数据账户混用等等。

CertiK安全专家在此建议:在程序编写时需注意账户的使用和其之间的联系。

攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。

标签:CERNCETIKCREcere币发行量Value FinanceTikky InuCRE8

XMR热门资讯
COM:XT.COM關於恢復WAVES, ZIL, ASIMI,FEES充提的公告

尊敬的XT.COM用戶:AVES,ZIL,ASIMI,FEES錢包升級維護已完成,XT.COM現已恢復AVES,ZIL,ASIMI,FEES充提業務.

1900/1/1 0:00:00
Huobi Global to Open Trading for MBX at 05:00 (UTC) on July 1

DearValuedUsers,HuobiGlobalwillbeopeningMBX(Marblex)spottrading(MBX/USDT)andspotGridtrading(MBX/U.

1900/1/1 0:00:00
PEN:OpenOcean

目前Crypto交易的痛点随着DeFi、衍生品和Web3的技术的蓬勃发展,我们看到了比以往任何时候更多的Crypto平台。这为投资者创造了巨大的交易机会.

1900/1/1 0:00:00
UNI:盘中宝——加密市场频繁暴雷,比特币跟随美股小幅收高

今日加密市场频繁暴雷,先是三箭资本申请破产保护,随后Voyager也已申请破产保护,BlockFi仍然表示“信心满满”,但具体如何还有待观察;另外.

1900/1/1 0:00:00
Huobi:Huobi Global Will List VELO (Velo) on July 7, 2022

DearValuedUsers,HuobiGlobalisscheduledtolistVELO(Velo)onJuly7.

1900/1/1 0:00:00
以太坊:ETH周报 | 以太坊完成Gray Glacier硬分叉升级;Meta在Facebook上测试以太坊和Polygon NFT(6.27-7.3)

作者|秦晓峰编辑|郝方舟出品|Odaily星球日报???一、整体概述6月30日,以太坊主网在区块高度15050000激活GrayGlacier硬分叉升级.

1900/1/1 0:00:00