比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

CertiK:Crema Finance被攻擊損失880萬美元事件分析_NCE

Author:

Time:1900/1/1 0:00:00

北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的CremaFinance項目遭到黑客攻擊,損失約880萬美元。

CremaFinance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。

CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶,通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim"函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。

Balancer:280萬美元資金仍面臨風險,請用戶盡快提款:8月24日消息,Balancer在推特發文表示,280萬美元資金仍面臨風險,占TVL的0.42%,請用戶盡快通過UI進行提款。[2023/8/24 10:40:14]

CremaFinance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。

值得注意的是,與該項目名字類似的CreamFinance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中CreamFinance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。

ABCDE Capital發布開源并行Sequencer驗證項目paraSequencer:4月8日,據官方消息,ABCDE Capital 發布開源并行 Sequencer 驗證項目 paraSequencer,旨在通過并行處理的方式提高基于 Geth 的 Layer2、ZKRollup、ZKevm 項目 Sequencer 性能。據悉,在目前的 POC 版本中,paraSequencer 可比單線程串行 Sequencer 性能提高 300%-800%。[2023/4/8 13:51:45]

攻擊步驟

CertiK:Project Shojira項目Discord服務器遭到攻擊:金色財經報道,據CertiK監測,Project Shojira項目Discord服務器遭到攻擊。請社區用戶不要點擊鏈接,鑄造或批準任何交易。[2022/10/22 16:35:31]

①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。

②攻擊者利用閃電貸借出了所需的token,并被用于與CremaFinance交互時的存款。

③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。

④攻擊者通過調用“Claim”函數,獲得額外代幣。

⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。

資產去向

截稿時,CertiK安全團隊預估損失總計約為878萬美元。

大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。

寫在最后

根據現有的攻擊流程和CremaFinance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tickaccount的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證,或者這些驗證可以被輕松跳過。

類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。

CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags:CERNCEANCTIKTracer DAOvelodromefinance幣新聞BooleancoinTIK價格

幣安app下載
JZL Capital區塊鏈行業周報第27期:上半年考核結束,市場反彈乏術_ITA

-加密貨幣市場迎來了最糟糕的半年,在下半年它又會有怎樣的表現?-?JaeKwon回歸Cosmos,他會最終成為Cosmos的“靈魂人物”嗎?上周五結束了2022年度的上半年.

1900/1/1 0:00:00
Tether項目周報(0627-0703)_THE

Tether(USDT)周六獲得中性評級:是時候加入了嗎? 價格水平 過去5天,Tether的交易價格一直在中點附近.

1900/1/1 0:00:00
星球日報 | 以太坊完成Gray Glacier硬分叉升級;美SEC拒絕灰度的比特幣現貨ETF申請(7月1日)_COIN

頭條 以太坊完成GrayGlacier硬分叉升級Ethernodes.org數據顯示,以太坊主網已經達到并超過GrayGlacier硬分叉升級激活區塊高度15050000.

1900/1/1 0:00:00
Blocks (BLOCKS)_BLOC

一、項目簡介? BLOCKS是關于在社區中自我表達和在元世界中發現用戶身份的。它具有動物之旅的魅力和舒適,在樂高世界中發現的樂趣和探索氛圍,并由Web3的強大規則提供動力.

1900/1/1 0:00:00
8V系統臨時維護公告_TPS

尊敬的8V用戶:?8V將于2022年6月28日16:30進行系統升級維護,期間將暫停所有服務,您的賬戶將無法登錄,請您控制好倉位/提前平倉.

1900/1/1 0:00:00
7/2夏季滿額天天抽獲獎名單_TPS

尊敬的唯客用戶您好! 夏季大放送滿額天天抽 活動時間:2022/06/2912:00?至?2022/07/1211:59 活動三:滿額天天抽 活動方式: 活動期間單日充值滿100USDT.

1900/1/1 0:00:00
ads