区块见闻 区块见闻
Ctrl+D收藏区块见闻

CertiK:Crema Finance被攻击损失880万美元事件分析

作者:

时间:

北京时间2022年7月3日,CertiK安全团队监测到Solana链上的Crema Finance项目遭到黑客攻击,损失约880万美元。

Crema Finance是一个建立在Solana上强大的流动性协议,为交易者和流动性提供者提供各项功能。在发现黑客攻击后,该项目方暂时终止了项目运行,以防止攻击者从平台上盗取更多资金。

CertiK安全团队进行了初步调查,认为在这次黑客攻击中,攻击者通过使用Solend协议中的6个不同闪电贷来利用合约。攻击者伪造tick账户, 通过存入和提取借来的代币,并调用了如下三个函数来实现攻击:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。当调用”Claim "函数时,黑客利用先前伪造的tick账户能够获得额外的代币。

俄媒:土耳其在伊拉克发起军事行动:4月18日消息,“今日俄罗斯”(RT)18日以“土耳其在伊拉克发起军事行动”为题称,土耳其国防部长胡卢西·阿卡尔当地时间18日上午宣布,安卡拉已开始大规模跨境军事行动,目标是在伊拉克北部的库尔德工人党(PKK)武装分子。(金十)[2022/4/18 14:30:40]

Crema Finance随后联系了攻击者并称“黑客有72小时的时间考虑成为白帽黑客,并保留80万美元”。

值得注意的是,与该项目名字类似的Cream Finance于2021年10月也遭遇过毁灭性的闪电贷攻击,该攻击中Cream Finance被黑客盗取了约1.3亿美元资金。虽然这两起攻击事件并不相关,但这两个相似名字的项目遭遇的两起攻击都显示出了合约安全的重要性:黑客能够以惊人的方式利用闪电贷来进行各种各样的攻击。

市值前三平台币24小时涨跌数据:据金色财经数据显示,截至目前主流平台币种概况如下:

BNB现价30.55美元,24h下跌0.03%,24h成交额1.17亿美元;OKB现价4.49美元,24h下跌6.93%,24h成交额2307.17万美元;HT现价4.49美元,24h下跌1.63%,24h成交额3318.22万美元。[2020/10/24]

攻击步骤

①攻击者准备了一个假的tick账户,方便在调用“Claim”函数时使用。

②攻击者利用闪电贷借出了所需的token,并被用于与Crema Finance交互时的存款。

③攻击者调用“DepositFixTokenType”函数,通过该函数将通过闪电贷借来的金额存入相应的pool。

④攻击者通过调用“Claim”函数,获得额外代币。

⑤最后,攻击者调用“WithdrawAllTokenTypes”函数,将最初存入的代币取回。

资产去向

截稿时,CertiK安全团队预估损失总计约为878万美元。

大约7万SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY账户中,而分批被盗的资产已被转移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。这些资金被桥接到ETH主网,并被发送到0x8021b2962db803b73aa874030b0b42c202e8458f。

写在最后

根据现有的攻击流程和Crema Finance公布的信息来看,本次攻击的起因为项目方代码缺少对于tick account的验证。作为存储价格信息的重要数据账户,源代码可能并没有做数据来源、所有者验证, 或者这些验证可以被轻松跳过。

类似的账户检查缺失屡见不鲜,可以说账户如何安全使用是Solana程序的重中之重。类似的例子包括但不限于账户所有者验证的缺失、不同用户的数据账户混用等等。

CertiK安全专家在此建议:在程序编写时需注意账户的使用和其之间的联系。

攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。

标签:DEFCOIRUMRBIDefi Shopping StakelovcoinmarumaruNFTOrbitau Taureum

以太坊交易所热门资讯
金色早报 | 美国政府可能在年底前通过稳定币立法

头条 ▌美国政府可能在年底前通过稳定币立法 金色财经消息,一位美国政府官员表示,美国联邦政府正在与国会合作制定稳定币立法,该立法可能在今年年底成为法律。美国官员表示,总统金融市场工作组周四开会讨论了最近的稳定币市场和未来的立法,这项立法将由众议院金融服务委员会提出,稳定币的发行方式是与会者讨论的另一个细节。

金色前哨 | MakerDAO DAI金库将投资美国短期国债

“引进来,投出去。” 2022年7月1日,MakerDAO社区对5亿枚DAI金库投资策略分配投票已结束,57.67%支持将5亿DAI金库的80%投向美国短期国债,20%投向IG Corp债券。 据MakerDAO,该分配投票是MIP65:Monetalis Clydesdale流动债券策略与执行通过的结果。

金色观察|L2的gas高吗?

昨天Arbitrum因gas费奇高被热议,流传出一个有趣的梗,“为什么l2比l1好,原来是因为gas费是l1的2倍。” 这个梗指出的情况不常见,但确实指出了l2存在的问题。

1inch、Balancer:关于 Defi 未来的探讨

本文针Fenbushi和Balancer、1inch的Twitter Space做了整理,节选了嘉宾们的精彩对话。其中,Mike是Balancer DAO的技术负责人,而Nikita是1inch的早期成员,负责市场拓展方面。

金色早报 | 美国SEC主席称比特币是唯一的加密货币

头条 ▌美国SEC主席称比特币是唯一的加密货币 金色财经消息,Bitcoin Magazine发推表示,美国证券交易委员会主席Gensler说比特币是唯一的加密货币,是一种商品。

DAO是影响工作的新方式

文章作者:Gitcoin联合创始人 & Scott Moore 文章编译:Block unicorn Gitcoin 的联合创始人表示,“DAO影响” 处于新兴工作文化的最前沿,它要求我们将我们的价值观与我们的行动保持一致。