ERT:CertiK：Crema Finance被攻击损失880万美元事件分析

北京时间2022年7月3日，CertiK安全团队监测到Solana链上的Crema Finance项目遭到黑客攻击，损失约880万美元。

Crema Finance是一个建立在Solana上强大的流动性协议，为交易者和流动性提供者提供各项功能。在发现黑客攻击后，该项目方暂时终止了项目运行，以防止攻击者从平台上盗取更多资金。

CertiK安全团队进行了初步调查，认为在这次黑客攻击中，攻击者通过使用Solend协议中的6个不同闪电贷来利用合约。攻击者伪造tick账户, 通过存入和提取借来的代币，并调用了如下三个函数来实现攻击：“DepositFixedTokenType”，“Claim”以及“WithdrawAllTokenTypes”。当调用”Claim "函数时，黑客利用先前伪造的tick账户能够获得额外的代币。

Certihash 与 IBM 合作开发企业区块链安全工具套件:金色财经消息，Certihash宣布了一个基于美国国家标准与技术研究院 (NIST) 网络安全框架开发“Sentinel Node”的项目，这是一套由五个区块链授权的企业实用程序应用程序中的第一个。Certihash 选择 IBM Consulting 来协助软件设计和开发。作为该项目的一部分，IBM Consulting 将使用经过验证的网络设计框架，并利用他们在向企业提供去中心化应用程序方面的丰富经验，致力于最先进的去中心化网络安全基础设施。该应用程序的 MVP 版本计划于 2022 年初秋推出。（finextra）[2022/4/28 2:37:35]

Crema Finance随后联系了攻击者并称“黑客有72小时的时间考虑成为白帽黑客，并保留80万美元”。

SumSwap V3 代码开发完毕，已交付给安全公司Certik审计:据官方消息，创新型去中心化协议SumSwap V3 代码已开发完毕，新版本合约拥有丰富多样的功能，除了对以前功能的优化外，还包括交易挖矿、推荐返手续费等众多新功能。新版本已经开发完毕并进行了完整的功能测试，目前SumSwap V3已交付给合约安全公司Certik审计，审计完成即可正式上线。[2021/9/2 22:55:26]

值得注意的是，与该项目名字类似的Cream Finance于2021年10月也遭遇过毁灭性的闪电贷攻击，该攻击中Cream Finance被黑客盗取了约1.3亿美元资金。虽然这两起攻击事件并不相关，但这两个相似名字的项目遭遇的两起攻击都显示出了合约安全的重要性：黑客能够以惊人的方式利用闪电贷来进行各种各样的攻击。

Balancer批准三项流动性挖矿相关提案:上周末，Balancer对其新的治理提案进行了第一轮投票，三份提案都得到了利益相关者的批准。据悉，自动流动性和资产管理协议每周为向Balancer平台提供流动性的人分配145000 BAL。代币分配与每个地址的流动性贡献对应。为了得出一个管理分配的公式，Balancer上周发布了其最小治理工具，并就这一计算结果提出了三项提案。

第一个提案被称为“balFactor”，鼓励持有者使用他们的BAL代币来获得流动性，而不仅仅是兑现；第二项提案是通过降低对高收费池的挖矿处罚来修改“feeFactor”；第三项提案是将“wrapFactor”定为0.7，来应用于每对软锚定代币的流动性，以吸引更多有用的流动性加入协议。（BeInCrypto）[2020/7/20]

攻击步骤

①攻击者准备了一个假的tick账户，方便在调用“Claim”函数时使用。

②攻击者利用闪电贷借出了所需的token，并被用于与Crema Finance交互时的存款。

③攻击者调用“DepositFixTokenType”函数，通过该函数将通过闪电贷借来的金额存入相应的pool。

④攻击者通过调用“Claim”函数，获得额外代币。

⑤最后，攻击者调用“WithdrawAllTokenTypes”函数，将最初存入的代币取回。

资产去向

截稿时，CertiK安全团队预估损失总计约为878万美元。

大约7万SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY账户中，而分批被盗的资产已被转移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。这些资金被桥接到ETH主网，并被发送到0x8021b2962db803b73aa874030b0b42c202e8458f。

写在最后

根据现有的攻击流程和Crema Finance公布的信息来看，本次攻击的起因为项目方代码缺少对于tick account的验证。作为存储价格信息的重要数据账户，源代码可能并没有做数据来源、所有者验证， 或者这些验证可以被轻松跳过。

类似的账户检查缺失屡见不鲜，可以说账户如何安全使用是Solana程序的重中之重。类似的例子包括但不限于账户所有者验证的缺失、不同用户的数据账户混用等等。

CertiK安全专家在此建议：在程序编写时需注意账户的使用和其之间的联系。

攻击发生后，CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时，CertiK也会在未来持续于官方公众号发布与项目预警（攻击、欺诈、跑路等）相关的信息。

标签：CERERTCERTNCEPaycer ProtocolCERT立方根CERT立方根Hurricane Finance

Fil热门资讯