北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的Crema Finance項目遭到黑客攻擊,損失約880萬美元。
Crema Finance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。
CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶, 通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim "函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。
CertiK:謹防Twitter上的虛假RICK認領/索賠網站:金色財經消息,CertiK提示社群成員謹防Twitter上的虛假RICK認領/索賠網站。該網站已連接到一個已知的釣魚地址。[2023/6/9 21:24:56]
Crema Finance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。
值得注意的是,與該項目名字類似的Cream Finance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中Cream Finance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。
CertiK:The Chimpsons項目Discord服務器遭到攻擊:金色財經消息,據CertiK監測,The Chimpsons項目Discord服務器遭到攻擊。請社區用戶不要點擊鏈接,鑄造或批準任何交易。[2022/10/30 11:58:29]
攻擊步驟
①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。
②攻擊者利用閃電貸借出了所需的token,并被用于與Crema Finance交互時的存款。
③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。
CertiK:微軟高危零日漏洞可執行任意代碼,建議用戶使用硬件錢包:金色財經報道,CertiK安全團隊發現,近日,微軟Office中一個被稱為 \"Follina \"的零日漏洞(編號CVE-2022-30190)被發現。攻擊者可使用微軟的微軟支持診斷工具(MSDT),從遠程URL檢索并執行惡意代碼。微軟Office的系列套件和使用MSDT的產品目前仍有可能受該零日漏洞的影響。
由于該漏洞允許攻擊者繞過密碼保護,通過這種方式,黑客能夠查看并獲得受害者的系統和個人信息。這個零日漏洞允許黑客進一步攻擊,提升黑客在受害者系統里的權限,并獲得對本地系統和運行進程的額外訪問,包括目標用戶的互聯網瀏覽器和瀏覽器插件,如Metamask。CertiK安全團隊建議,正確保護你的設備和個人信息。[2022/6/3 4:00:57]
④攻擊者通過調用“Claim”函數,獲得額外代幣。
⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。
資產去向
截稿時,CertiK安全團隊預估損失總計約為878萬美元。
大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。
寫在最后
根據現有的攻擊流程和Crema Finance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tick account的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證, 或者這些驗證可以被輕松跳過。
類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。
CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警(攻擊、欺詐、跑路等)相關的信息。
Tags:certikERTTIKCERcertik幣價younkertcaptialsTIKKYAsia Influencer Platform
以太坊虛擬機(EVM)是區塊鏈開發者中的事實標準,它背后有一個巨大的社區支持。這導致其他兼容以太坊虛擬機的區塊鏈也開始探索這個系統,而非以太坊虛擬機兼容的區塊鏈則在此基礎上建立以太坊虛擬機兼容層.
1900/1/1 0:00:00撰文:Haseeb Qureshi,Dragonfly Capital 合伙人編譯:czgsws,BlockBeats近日.
1900/1/1 0:00:00頭條 ▌英格蘭銀行副行長:加密貨幣必須在監管框架內7月13日消息,英格蘭銀行(Bank of England)副行長 Jon Cunliffe 將加密貨幣市場比作一架不安全的飛機.
1900/1/1 0:00:00譯者語 “不存在什么財產,不存在什么支配,也沒有我的和你的之分;每個人能得到的就是他的,只要他能保得住.
1900/1/1 0:00:00作者:北辰 Twitter博主Brise.eth????(@Brise_eth)寫了一個機器人,統計了超過50萬個有效的NFT地址,發現在過去7天回報最高的10個地址中.
1900/1/1 0:00:007 月 13 日,0x499 通過推特 Space 舉行線上直播,本期主題“藝術賽道 NFT 的演變之路”.
1900/1/1 0:00:00