BTC/HKD-0.21%
ETH/HKD+0.01%
LTC/HKD+1.26%
DOT/HKD+0.05%
ADA/HKD-0.5%
SOL/HKD+2.57%
XRP/HKD+1.71%
DOGE/US+4.73% 
北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的CremaFinance項目遭到黑客攻擊,損失約880萬美元。
CremaFinance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。
CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶,通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim"函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。
CertiK完成對螞蟻集團可信執行環境HyperEnclave的先進形式化驗證:金色財經報道,CertiK宣布完成對螞蟻集團開放式跨平臺可信執行環境(TEE)HyperEnclave的先進形式化驗證。螞蟻集團的可信原生技術團隊開發了開放跨平臺軟件可信執行環境HyperEnclave,旨在提高螞蟻集團隱私保護計算工作負載的效率和兼容性。CertiK通過其獨有的先進形式化驗證技術,驗證了HyperEnclave核心組件的安全性和技術正確性。[2023/7/26 15:59:27]
CremaFinance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。
BridgeCoin已正式通過Certik安全審計:據官方消息,基于以太坊的去中心化支付項目BridgeCoin已于5月13日正式通過區塊鏈安全公司Certik安全審計。BridgeCoin是面向Web 3.0的加密貨幣,通過區塊鏈技術的加持,打造其它加密貨幣的統一兌換標的,形成規范化、全球化、國際化的加密貨幣體系。[2022/5/25 3:40:04]
值得注意的是,與該項目名字類似的CreamFinance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中CreamFinance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。
Arbitrum:Sequencer漏洞導致昨日停機,已定位問題并修復:9月15日消息,以太坊擴容網絡Arbitrum One發布針對昨日網絡故障的報告。從美東時間9月14日10:14開始,Arbitrum One停機持續45分鐘,期間Arbitrum Sequencer(定序器)處于離線狀態,資金從未面臨風險。停機的根本原因是一個Bug,導致Sequencer在短時間內收到大量交易時卡住,Arbitrum團隊已經定位到該問題并已部署修復程序。團隊還表示,就算Sequencer故障,也不會影響該網絡的持續運行,用戶可以繞開Sequencer,將交易直接提交到以太坊。[2021/9/15 23:25:44]
攻擊步驟
①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。
②攻擊者利用閃電貸借出了所需的token,并被用于與CremaFinance交互時的存款。
③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。
④攻擊者通過調用“Claim”函數,獲得額外代幣。
⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。
資產去向
截稿時,CertiK安全團隊預估損失總計約為878萬美元。
大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。
寫在最后
根據現有的攻擊流程和CremaFinance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tickaccount的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證,或者這些驗證可以被輕松跳過。
類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。
CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。
Tags:CERNCEERTCERTTracer DAOSoy FinanceCoin Fast Alert0xcert
據官方消息,截至7月27日,2022波場黑客松大賽第二季項目提交已正式結束!在過去兩個多月時間里,全球范圍內共有1830個項目組報名參與.
1900/1/1 0:00:00北京時間2022年6月23日19:06:46,CertiK審計團隊監測到Harmony鏈和以太坊之間的跨鏈橋經歷了多次惡意攻擊.
1900/1/1 0:00:00在以太坊上執行復雜的函數一直是一個大忌,永遠不應該這么做。區塊鏈計算是非常昂貴的,因為需要所有節點執行相同的計算來驗證其正確性.
1900/1/1 0:00:00原文作者:EricZhang過去兩年,去中心化治理中的隱私及共謀問題被頻繁提及,相對于“操縱”和“女巫攻擊”這兩大挑戰來說,隱私及共謀也是較難解決的問題.
1900/1/1 0:00:00收購Xena團隊和技術將如何為Qredo帶來世界一流的交易工具由于Qredo開創了沒有交易對手風險的托管方式,另一個加密平臺正在開創沒有交易對手風險的交易.
1900/1/1 0:00:00原文作者:Samantha原文標題:It’stimeforDAOstogetalittlemoreboring DAO一直以來的代名詞是自由、權利下放、無邊界....似乎一切那么符合人性.
1900/1/1 0:00:00
以太坊價格
