比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > FIL > Info

CertiK:Crema Finance被攻擊損失880萬美元事件分析_NCE

Author:

Time:1900/1/1 0:00:00

北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的Crema Finance項目遭到黑客攻擊,損失約880萬美元。

Crema Finance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。

CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶, 通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim "函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。

Aave上線AMM Market,允許Uniswap和Balancer的流動性提供商使用LP代幣作為抵押品:3月17日消息,去中心化借貸協議 Aave (AAVE)宣布上線 AMM 市場(AMM Market),可以使 Uniswap 和 Balancer 的流動性提供商(LP)可以使用其 LP 代幣作為 Aave 協議的抵押品,未來 Aave 有可能部署更多的 AMM 流動資金池。[2021/3/17 18:51:49]

Crema Finance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。

Balancer總鎖倉價值超過10億美元:金色財經報道,DeFi Pulse數據顯示,Balancer已成為第四個總鎖倉價值達到10億美元的DeFi協議,其總鎖倉價值目前約為10.6億美元。[2020/8/29]

值得注意的是,與該項目名字類似的Cream Finance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中Cream Finance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。

mStable:mUSD已被列入Balancer Labs白名單:穩定幣聚合協議mStable發推稱,mUSD已被列入Balancer Labs白名單,現在有資格獲得BAL獎勵。

此前消息,mStable發文介紹其協議代幣Meta(MTA),MTA主要有三個功能:1. 作為再擔保(保險)的最終來源;2. 協調mStable的去中心化治理;3. 激勵mStable的資產流動性、效用和社區治理。目前僅功能3可用,功能1和功能2將在協議第二階段啟用。首個MTA生態系統獎勵池已在Balancer上運行,通過向Balancer的mUSD/USDC流動池做貢獻,每周可獲得50000 MTA的份額,以及向該流動池支付的所有BAL獎勵。[2020/6/28]

攻擊步驟

①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。

②攻擊者利用閃電貸借出了所需的token,并被用于與Crema Finance交互時的存款。

③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。

④攻擊者通過調用“Claim”函數,獲得額外代幣。

⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。

資產去向

截稿時,CertiK安全團隊預估損失總計約為878萬美元。

大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。

寫在最后

根據現有的攻擊流程和Crema Finance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tick account的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證, 或者這些驗證可以被輕松跳過。

類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。

CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警(攻擊、欺詐、跑路等)相關的信息。

Tags:NCEANCCERBALBundles FinanceEEL FinancecertikDBALL

FIL
一覽 Alliance DAO Demo Day 16 個 Web3 項目_WEB

Alliance DAO 的核心貢獻者 Qiao Wang 在活動期間表示,該活動每年舉辦 3 次。「各個階段的初創公司都加入了我們的行列,從剛剛有創意的公司到價值數十億美元的公司.

1900/1/1 0:00:00
觀點:Web3讓注意力經濟轉變為價值驅動經濟_FIL

來源:coindesk 如果擁有同一個系列的NFT持有者們組成一個去中心化自治組織——DAO,每個成員都貢獻自己的力量建設社區、為項目更好發展出謀劃策,由此得到獎勵.

1900/1/1 0:00:00
山雨欲來風滿樓 數字藏品平臺將迎巨變_SHIB

從「野蠻生長」到「價值回歸」。所謂風為雨頭,暴雨將至先刮大風。若說年初的數藏行業之風還是暖風熏得藏友醉,直把平臺作金臺的話,那么3月末至今的幾陣平地而起的狂風已讓行業為之震動.

1900/1/1 0:00:00
如何看待DeFi的中心化風險?_CEL

在加密行業崩潰的背景下,DeFi(去中心化金融)最近也遇到了巨大困難。自去年12月以來,DeFi鎖定的總價值不僅下降了70%,而且在去中心化程度較低的DeFi領域內的各種平臺也受到了崩潰的威脅,

1900/1/1 0:00:00
Web3——互聯網新造神“機器”_區塊鏈

Web3領域正在進行著互聯網時代的新“造神”運動,成為2022年投資圈的唯一一抹亮色。當它的發展真正還原到大眾用戶的核心需求上來,一場關于Web3的祛魅也就完成了.

1900/1/1 0:00:00
牛熊周期與加密的未來如何演變?看看紅杉資本怎么說_KEN

紅杉資本成立于1972年,到今年剛好50年,在全球風險投資領域,紅杉資本是無可爭議的帶頭大哥。自成立以來,紅杉資本成功投資了蘋果、思科、甲骨文、谷歌等巨頭公司,見證了一個又一個傳奇企業的閃耀時刻.

1900/1/1 0:00:00
ads