火星链 火星链
Ctrl+D收藏火星链

CER:CertiK:Crema Finance被攻击损失880万美元事件分析

作者:

时间:1900/1/1 0:00:00

北京时间2022年7月3日,CertiK安全团队监测到Solana链上的CremaFinance项目遭到黑客攻击,损失约880万美元。

CremaFinance是一个建立在Solana上强大的流动性协议,为交易者和流动性提供者提供各项功能。在发现黑客攻击后,该项目方暂时终止了项目运行,以防止攻击者从平台上盗取更多资金。

CertiK:今年至少30起NFT攻击事件与单个黑客有关,其获利超130万美元:7月28日消息,CertiK发推称,今年NFT网络钓鱼攻击事件大幅增加,尤其是通过攻击Discord账户,几乎每天都有此类事件发生。CertiK团队可以确认,其中至少有30起黑客攻击事件与单个攻击者有关,该攻击者获利超130万美元。[2023/7/28 16:03:42]

CertiK安全团队进行了初步调查,认为在这次黑客攻击中,攻击者通过使用Solend协议中的6个不同闪电贷来利用合约。攻击者伪造tick账户,通过存入和提取借来的代币,并调用了如下三个函数来实现攻击:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。当调用”Claim"函数时,黑客利用先前伪造的tick账户能够获得额外的代币。

Balancer将为LSD协议StaFi的rETH-ETH池创建Gauge,BAL释放上限为10%:2月8日消息,流动性质押衍生品协议 StaFi 在 Balancer 社区提议为以太坊上的 rETH-ETH 池创建一个 Balancer Gauge,BAL 释放上限为 10%。StaFi 将使其 Balancer rETH-ETH 池成为以太坊主网上 rETH 的主要流动性来源。通过增强池的流动性,Balancer 将会从增加的交易费用中获益。目前该提案已获得 Balancer 社区投票通过。

StaFi 于 2020 年第三季度推出,重点是为以太坊和其他权益证明链(例如 Polygon、Solana 和 Polkadot)上的抵押资产带来流动性。与其他 LSD 协议类似,StaFi 发行流动性收据 Toekn (rETH),代表用户通过无许可的验证器集在信标链上质押的以太坊份额。自推出以来,该协议已在 11 种 Token 中积累了价值超过 3600 万美元的质押资产,并拥有 3439 个活跃验证者。[2023/2/8 11:54:54]

CremaFinance随后联系了攻击者并称“黑客有72小时的时间考虑成为白帽黑客,并保留80万美元”。

Aave与Balancer合作推出Balancer V2资产管理器:借贷平台Aave和自动做市商(AMM)Balancer合作推出了具有混合流动性和借贷功能的Balancer V2资产管理器。(cointelegraph)[2021/2/24 17:46:13]

值得注意的是,与该项目名字类似的CreamFinance于2021年10月也遭遇过毁灭性的闪电贷攻击,该攻击中CreamFinance被黑客盗取了约1.3亿美元资金。虽然这两起攻击事件并不相关,但这两个相似名字的项目遭遇的两起攻击都显示出了合约安全的重要性:黑客能够以惊人的方式利用闪电贷来进行各种各样的攻击。

攻击步骤

①攻击者准备了一个假的tick账户,方便在调用“Claim”函数时使用。

②攻击者利用闪电贷借出了所需的token,并被用于与CremaFinance交互时的存款。

③攻击者调用“DepositFixTokenType”函数,通过该函数将通过闪电贷借来的金额存入相应的pool。

④攻击者通过调用“Claim”函数,获得额外代币。

⑤最后,攻击者调用“WithdrawAllTokenTypes”函数,将最初存入的代币取回。

资产去向

截稿时,CertiK安全团队预估损失总计约为878万美元。

大约7万SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY账户中,而分批被盗的资产已被转移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。这些资金被桥接到ETH主网,并被发送到0x8021b2962db803b73aa874030b0b42c202e8458f。

写在最后

根据现有的攻击流程和CremaFinance公布的信息来看,本次攻击的起因为项目方代码缺少对于tickaccount的验证。作为存储价格信息的重要数据账户,源代码可能并没有做数据来源、所有者验证,或者这些验证可以被轻松跳过。

类似的账户检查缺失屡见不鲜,可以说账户如何安全使用是Solana程序的重中之重。类似的例子包括但不限于账户所有者验证的缺失、不同用户的数据账户混用等等。

CertiK安全专家在此建议:在程序编写时需注意账户的使用和其之间的联系。

攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。

标签:CERNCEANCBALDEFILANCER币Wasdaq FinanceLithium FinanceEcoball

以太坊价格热门资讯
加密货币:金色早报 | 俄罗斯首个加密监管立法草案将于今年秋季提交议会

头条▌肯尼亚是非洲拥有加密货币公民比例最高的国家金色财经报道,根据联合国贸易和发展会议(UNCTAD)最新政策简报的数据,肯尼亚拥有数字货币占人口的比例为8.5%,是非洲最高的,全球第五高.

1900/1/1 0:00:00
POL:金色前哨|以太坊Sepolia测试网已完成合并测试

金色财经报道,据北京时间7月6日晚间消息,以太坊Sepolia测试网已完成合并。这是以太坊主网合并前的测试工作之一,Sepolia测试网是运行PoW的Ethash算法的测试网,其使用的EVM版本.

1900/1/1 0:00:00
USE:源码解读:以太坊新标准EIP-4907是如何实现NFT租赁的?

内容概要在这周,NFT?租赁市场DoubleProtocol提交的可租赁NFT标准“EIP-4907”通过了以太坊开发团队的最终审核,成为第30个ERC标准“Final”的状态.

1900/1/1 0:00:00
XMR:金色趋势丨牛市来了吗?

金色财经挖矿数据播报 | BCH今日全网算力上涨16.85%:金色财经报道,据蜘蛛矿池数据显示: ETH全网算力184.523TH/s,挖矿难度2339.03T,目前区块高度10125798.

1900/1/1 0:00:00
ARBI:Gas 费一度超以太坊主网 Arbitrum 暴露了哪些问题?

L2需要做好充足准备以迎接用户的到来,不能低估了用户的参与程度和高估了网络性能。北京时间6月29日晚,在Arbitrum奥德赛活动第二阶段启动的第一天,由于链上的繁重负载导致高于正常的gas费用.

1900/1/1 0:00:00
WEB:Web3 时代 我从创作者经济中学到了什么?

近年来,在Web3、NFT、DAO和加密技术蓬勃发展的同时,创作者经济也在不断地发展。在过去的一年里,我阅读了数百篇关于网红营销、社交广告和创作者经济的文章,采访了数位专业人士和新人,在网络社区.

1900/1/1 0:00:00