買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > TRX > Info

FIN:CertiK:Crema Finance被攻擊損失880萬美元事件分析_FINA

Author:

Time:1900/1/1 0:00:00

北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的CremaFinance項目遭到黑客攻擊,損失約880萬美元。

CremaFinance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。

CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶,通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim"函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。

比特幣與以太坊的相關性18個月來首次跌破80%:金色財經報道,自2021年11月以來,比特幣和以太坊價格之間的相關性首次跌破80%,表明這兩種最大的加密貨幣之間的關系發生了重大轉變。

數據提供商Kaiko的數據顯示,比特幣和以太坊之間的30天滾動相關性本周降至78%左右。相關性衡量的是兩種資產價格變動的密切程度。當相關性較低時,這意味著它們的價格更頻繁地朝不同方向波動。

換句話說,相關性下降意味著BTC和ETH的價格不像以前那樣緊密地一起移動。[2023/5/13 15:01:02]

CremaFinance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。

美聯儲資產負債表規模較上周擴大約1000億美元至8.78萬億美元:金色財經報道,美聯儲資產負債表規模較上周擴大約1000億美元至8.78萬億美元。[2023/3/24 13:23:03]

值得注意的是,與該項目名字類似的CreamFinance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中CreamFinance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。

數據:0x4ee7開頭地址從Aave中撤回了超1.8萬枚stETH:11月30日消息,PeckShield在社交媒體上稱,據Etherscan數據顯示,0x4ee7開頭地址從Aave中分兩筆撤回了超18113.65枚stETH,總價值約2260萬美元。[2022/11/30 21:13:02]

攻擊步驟

①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。

②攻擊者利用閃電貸借出了所需的token,并被用于與CremaFinance交互時的存款。

③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。

④攻擊者通過調用“Claim”函數,獲得額外代幣。

⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。

資產去向

截稿時,CertiK安全團隊預估損失總計約為878萬美元。

大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。

寫在最后

根據現有的攻擊流程和CremaFinance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tickaccount的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證,或者這些驗證可以被輕松跳過。

類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。

CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

來源:金色財經

Tags:CREFINAANCFINCREAMAAI Link FinanceETET FinanceSquirrel Finance

TRX
HOR:美媒先驅日報:NFT數字浪潮大步正邁向SeaHorse創造新的世界_NFTC幣

近日,Sea?Horse?CEO?Erics先生受邀出席了WEF召開的主題為《NFT創意產業新時代》的圓桌會議,以下是本次會議的部分摘錄.

1900/1/1 0:00:00
STO:注意今天BTC突破這個位置 將迎來暴漲_BUY

小牛APP:https://m.cryptopal.live/?name=b1??(鏈接復制到瀏覽器,打開下載~)6月26日14:48預警,價格約0.08美元附近,最高價格為3.091美元.

1900/1/1 0:00:00
比特幣:元宇宙公鏈體系下的區塊鏈技術理念:以Deer Network為例_Pioneer Coin

元宇宙是一個基于數字技術下的三向數字世界社會,人們以數字身份參與其中。在虛擬與現實緊密結合的元宇宙視野中,信息具有更豐富的生產和表達形式。元宇宙公鏈是支撐整個生態系統的底層邏輯.

1900/1/1 0:00:00
EST:幣安出現新鏈游MirOfBSC_INVEST

據了解MirOfBSC是由VEMIXMIR4團隊核心成員與幣安鏈的一次合作,利用傳統游戲的模式并結合現有鏈游經濟模型.

1900/1/1 0:00:00
Solana:金色觀察|Web3手機出現 硬件崛起能否帶Web3飛入尋常百姓家?_solana幣

元宇宙、NFT熱潮涌起,Web3.0的建設與發展備受矚目。近兩年,隨著Web3概念被廣泛傳播,大量應用涌現.

1900/1/1 0:00:00
CRY:颶風在路上 但從投資機構到項目方 真正的機會都是在熊市_CryptMi

作者:北辰 “如果你對未來2到3年有長遠的看法,那么接下來的6到8個月將是你Crypto職業生涯中最重要的幾個月——你可以真正定位自己,用很少的資本賺很多錢.

1900/1/1 0:00:00
ads