買以太坊 買以太坊
Ctrl+D 買以太坊
ads

FIN:CertiK:Crema Finance被攻擊損失880萬美元事件分析_ANC

Author:

Time:1900/1/1 0:00:00

北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的CremaFinance項目遭到黑客攻擊,損失約880萬美元。

CremaFinance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。

CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶,通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim"函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。

Balancer生態收益治理平臺Aura Finance已上線Arbitrum:6月21日消息,Balancer生態收益治理平臺Aura Finance宣布上線Arbitrum。此前消息,Aura Finance社區已經投票通過有關在Arbitrum上進行戰略跨鏈部署的提案。[2023/6/21 21:52:01]

CremaFinance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。

值得注意的是,與該項目名字類似的CreamFinance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中CreamFinance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。

Aave與Balancer合作推出Balancer V2資產管理器:借貸平臺Aave和自動做市商(AMM)Balancer合作推出了具有混合流動性和借貸功能的Balancer V2資產管理器。(cointelegraph)[2021/2/24 17:46:13]

攻擊步驟

①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。

②攻擊者利用閃電貸借出了所需的token,并被用于與CremaFinance交互時的存款。

③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。

動態 | EOS42發起提案:升級regproducer李嘉圖合約 提升EOS主網穩定性:據IMEOS消息,EOS42發起公投提案,提交新版本 regproducer (出塊節點注冊)李嘉圖合約供EOS社區反饋和投票。regproducer 是注冊成為出塊節點時候所做的操作,而相應的李嘉圖合約用于規范出塊節點的行為和表現。此提案發起目的是希望幫助EOS社區就出塊節點追責制的基本流程與規范達成一致。在介紹提案的文章中, EOS42提到:“通過regproducer合約中約定的標準來實現出塊節點問責制,其最終目標是為了確保基礎設施的性能能夠具備穩定性,能夠為 dApps 提供可靠的支持,并且為EOS區塊鏈提供保護。”EOS社區可以通過參與全民公投方式積極參與regproducer的新合約條款投票,同時,會發起多簽名提案(MSIG),其更改內容與全民公投的提案相同。多簽提案將比公投的持續時間延長兩周。[2019/5/30]

④攻擊者通過調用“Claim”函數,獲得額外代幣。

⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。

資產去向

截稿時,CertiK安全團隊預估損失總計約為878萬美元。

大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。

寫在最后

根據現有的攻擊流程和CremaFinance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tickaccount的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證,或者這些驗證可以被輕松跳過。

類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。

CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags:CERNCEANCFINSoccerHubExperience PointsAnchor ProtocolDXY Finance

幣安app下載
NFT:NFT 市場變局:從一家獨大到百家爭鳴?_PEN

加密資產市場整體進入深熊階段,獨立板塊NFT市場則新聞不斷,NFT交易賽道闖入了不少新老面孔,包括傳統行業的玩家.

1900/1/1 0:00:00
APP:不一定要用Web3.0的方式殺死Web2.0_WEB

轉自:老雅痞 如果你像我一樣,試圖保持開放的心態,認為有一天可能會有區塊鏈的非欺詐性應用,那么你可能已經讀過一些關于“Web3“的文章了.

1900/1/1 0:00:00
DEF:FATF 最新報告解讀:哪些領域將成為下半年的監管關注重點?_DEFLCT幣

6月30日,全球反洗錢和打擊資助恐怖主義措施的標準制定者——金融行動特別工作組發布了一份關于其加密資產指南的應用情況報告.

1900/1/1 0:00:00
ATO:被歐美通緝 「加密女王」是比特幣最大持有者之一?_IGN

一份法律文件顯示,「加密貨幣女王」曾在阿聯酋王室成員手中購得23萬枚比特幣。 來源:華爾街見聞 近日,有「加密貨幣女王」之稱的RujaIgnatova被FBI列入十大通緝要犯名單.

1900/1/1 0:00:00
NFT:NFT 時代 藝術家的生存指南_END

引言 你好呀!探險家!如果你在閱讀這份指南,那么恭喜你!你已經占得先機,即將打開全新藝術時代的大門,開啟一場探險之旅.

1900/1/1 0:00:00
比特幣:觀點:Web3讓注意力經濟轉變為價值驅動經濟_coinweb幣投資機構

如果擁有同一個系列的NFT持有者們組成一個去中心化自治組織——DAO,每個成員都貢獻自己的力量建設社區、為項目更好發展出謀劃策,由此得到獎勵.

1900/1/1 0:00:00
ads