区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > MEXC > 正文

ART:CertiK:Crema Finance被攻击损失880万美元事件分析_TMA

作者:

时间:

北京时间2022年7月3日,CertiK安全团队监测到Solana链上的CremaFinance项目遭到黑客攻击,损失约880万美元。

CremaFinance是一个建立在Solana上强大的流动性协议,为交易者和流动性提供者提供各项功能。在发现黑客攻击后,该项目方暂时终止了项目运行,以防止攻击者从平台上盗取更多资金。

CertiK安全团队进行了初步调查,认为在这次黑客攻击中,攻击者通过使用Solend协议中的6个不同闪电贷来利用合约。攻击者伪造tick账户,通过存入和提取借来的代币,并调用了如下三个函数来实现攻击:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。当调用”Claim"函数时,黑客利用先前伪造的tick账户能够获得额外的代币。

Bitstamp创始人Nejc Kodri?辞去CEO:加密货币交易所Bitstamp创始人Nejc Kodri?将辞去CEO职务,他将在公司董事会担任一个新的顾问角色。现任加密交易所Gemini英国和欧洲董事总经理的Julian Sawyer将接任Bitstamp交易所CEO。(Cointelegraph)[2020/10/22]

CremaFinance随后联系了攻击者并称“黑客有72小时的时间考虑成为白帽黑客,并保留80万美元”。

值得注意的是,与该项目名字类似的CreamFinance于2021年10月也遭遇过毁灭性的闪电贷攻击,该攻击中CreamFinance被黑客盗取了约1.3亿美元资金。虽然这两起攻击事件并不相关,但这两个相似名字的项目遭遇的两起攻击都显示出了合约安全的重要性:黑客能够以惊人的方式利用闪电贷来进行各种各样的攻击。

行情 | 近一个月Bitfinex交易所冷钱包入账比特币价值约6亿元???:据公开数据显示,近一个月Bitfinex交易所冷钱包入账15534个比特币,价值约6亿元(地址:3D2oetdNuZUqQHPJmcMDDHYoqkyNVsFk9r)

;此外Bitstamp交易所冷钱包近一个月入账4000个比特币,约1亿元(地址:3Nxwenay9Z8Lc9JBiywExpnEFiLp6Afp8v)。[2018/7/15]

攻击步骤

①攻击者准备了一个假的tick账户,方便在调用“Claim”函数时使用。

动态 | Bitfinex平台出现大额交易,推高比特币至6370美元:据coindesk消息,Bitfinex平台出现一笔大额交易,用户买入了267.9枚比特币 (总价值1706523美元) ,将比特币价格推高至6370美元。[2018/7/11]

②攻击者利用闪电贷借出了所需的token,并被用于与CremaFinance交互时的存款。

③攻击者调用“DepositFixTokenType”函数,通过该函数将通过闪电贷借来的金额存入相应的pool。

④攻击者通过调用“Claim”函数,获得额外代币。

⑤最后,攻击者调用“WithdrawAllTokenTypes”函数,将最初存入的代币取回。

资产去向

截稿时,CertiK安全团队预估损失总计约为878万美元。

大约7万SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY账户中,而分批被盗的资产已被转移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。这些资金被桥接到ETH主网,并被发送到0x8021b2962db803b73aa874030b0b42c202e8458f。

写在最后

根据现有的攻击流程和CremaFinance公布的信息来看,本次攻击的起因为项目方代码缺少对于tickaccount的验证。作为存储价格信息的重要数据账户,源代码可能并没有做数据来源、所有者验证,或者这些验证可以被轻松跳过。

类似的账户检查缺失屡见不鲜,可以说账户如何安全使用是Solana程序的重中之重。类似的例子包括但不限于账户所有者验证的缺失、不同用户的数据账户混用等等。

CertiK安全专家在此建议:在程序编写时需注意账户的使用和其之间的联系。

攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。

标签:ARTTMABITMARProStarterBitMartbiteternitySmart Content Protocol

MEXC热门资讯
COI:CoinW币赢出品:——zkSync的生态发展和空投交互_TheFutbolCoin

2022年4月,Layer2明星项目Optimism完成了其治理代币OP的空投,6月,Arbitrum紧随其后,开启了奥德赛活动,完成交互任务即可领取NFT空投奖励,那么作为被寄予厚望.

TPS:XT.COM關於恢復CSPR充提的公告_HTT

尊敬的XT.COM用戶:CSPR錢包升級維護已完成,XT.COM現已恢復CSPR充提業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任!XT.COM團隊2022年7月2日https.

TMA:BitMart上线HITOP (HITOP)_MART

亲爱的BitMart用户:BitMart将于2022年7月4日上线代币HITOP(HITOP)。届时将开通HITOP/USDT交易对.

LED:知情人士:BlockFi也收到了加密借贷平台Ledn的报价_BLOCK

7月1日消息,据知情人士透露,正在与FTX就收购价格谈判的BlockFi也收到了加密借贷平台Ledn的报价,与FTX的出价不同,Ledn的提议涉及新的资金而不是全面收购,并且已提交报价.

DAO:Tiger DAO VC或成抵达Web3捷径_GER

“今年软银的投资将大幅缩减25%-50%。”软银集团CEO孙正义在日前召开的2021财年业绩发布会后对外透露.

DAO:哈佛法学院最新评论:DAO只是动态市场活动的最新例子_TIG

原文作者:KevinSchwartzandDavidAdlerstein原文标题:DecentralizedGovernanceandtheLessonsofCorporateGovernanc.