前言
8月30日,知道創宇區塊鏈安全實驗室監測到以太坊上的DeFi協議CreamFinance遭遇重入漏洞襲擊,損失超1800萬美元。實驗室第一時間跟蹤本次事件并分析。
涉及對象
攻擊涉及合約地址:
0x38c40427efbaae566407e4cde2a91947df0bd22b
0x0ec306d7634314d35139d1df4a630d829475a125
DeFi投資平臺Credix在A輪融資中籌集1125萬美元:金色財經報道,去中心化信貸平臺Credix表示,它已獲得1125萬美元的A輪融資,以尋求在拉丁美洲的擴張。Credix是一個基于Solana的信貸市場,該公司周二在一份聲明中表示,它于2021年在巴西推出,并希望在今年晚些時候開始在墨西哥和哥倫比亞開展業務。參與本輪融資的還有Valor Capital Group、Victory Park Capital和ParaFi Capital。該地區最大的銀行Itau旗下的Itaú Latam董事長Ricardo Villela Marino也作為私人投資者參與其中。Credix的最新融資建立在其于2021年底獲得的250萬美元種子輪融資之上,ParaFi也參與了該輪融資。(the block)[2022/9/6 13:12:27]
受害涉及合約地址:
家族辦公室Accretion Capital正在為機構投資者推出NFT基金:金色財經報道,邁阿密家族辦公室Accretion Capital正在為機構投資者推出 NFT 基金“Accretion NFT Fund”,計劃在第二季度上線。該基金將進行短期投資,例如新的 NFT 基礎設施提供商和相關的代幣經濟學項目,也準備參與長期戰略,包括購買和持有藍籌 NFT,如 Bored Ape Yacht Club 收藏品和 CryptoPunks。
新基金是獨立于家族辦公室的實體,Accretion Capital還自行投資區塊鏈公司,包括入股有前途的 Web3 初創公司。(Blockworks)[2022/2/25 10:15:40]
CErc20Delegator:0x2db6c82ce72c8d7d770ba1b5f5ed0b6e075066d6
以太坊DeFi協議Cream Finance遭受攻擊,損失1.15億美元:金色財經報道,DeFi借貸協議CreamFinance再次遭受攻擊,損失達1.15億美元。被盜的資金主要是CreamLP代幣和其他ERC-20代幣。PeckShield發現了一筆用于實施這一攻擊行為的大額閃電貸。根據區塊鏈記錄,9200萬美元被盜到一個地址,2300萬美元被盜到另一個地址,盡管這些資金現在被轉移到不同的錢包中。根據Rekt的排行榜,這是有史以來第三大DeFi黑客攻擊(盡管兩個更大的黑客攻擊事件都有資金返還)。(TheBlock)[2021/10/28 6:16:25]
CEther:0xd06527d5e56a3495252a528c4987003b712860ee
Morgan Creek Digital完成第三只規模為8000萬美元的加密投資基金募集:加密貨幣投資基金 Morgan Creek Digital (摩根溪)宣布已完成第三只風險投資基金 Morgan Creek Digital Fund III的募集,該基金將專注于區塊鏈技術和數字資產,目前規模為 8000 萬美元,而該基金此前的目標規模為 4 億美元。
該基金將專注于投資區塊鏈技術和人工智能,包括數字資產、去中心化金融(DeFi)和數據基礎設施,第一筆投資是利用區塊鏈和人工智能技術解決金融服務實際問題的 Figure Technologies。Morgan Creek Digital Fund III 表示獲得了 Fairfax 縣雇員退休系統和 Fairfax 縣警官退休系統的 6600 萬美元的支持。[2021/6/26 0:08:15]
Amp:0xff20817765cb7f73d4bde2e66e067e58d11095c2
簡述攻擊流程
首先黑客通過合約0x38c4進行閃電貸借出啟動資金500ETH
抵押ETH獲得憑證
通過合約0x38c4調用CErc20Delegator合約借出19,480,000AMP
通過重入漏洞繼續調用CEther合約借出355ETH
使用合約0x0ec3對合約0x38c4進行超額借貸清算
合約0x38c4轉移憑證給合約0x0ec3贖回約187ETH
歸還閃電貸
漏洞成因分析
獲利條件
borrowFresh函數在發生借貸時是先通過doTransferOut函數轉賬,再記錄最新變化
攻擊條件
doTransferOut函數包含的transfer函數會使用_callPostTransferHooks函數會回調調用合約的tokensReceived函數
總結
本次閃電貸安全事件主要是項目方在設計代幣時沒考慮到協議之間的兼容性引發的重入危機,其實在前段時間已經爆出擁有類似回調功能的ERC777代幣存在重入漏洞,如果項目方及時發現跟進,應該能減少甚至避免損失。
知道創宇區塊鏈安全實驗室再次提醒近期各鏈上頻頻爆發攻擊事件,合約安全愈發需要得到迫切重視,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:CREITATAL區塊鏈SecretSwapRealital MetaverseRadiant Capital區塊鏈是什么意思
以太坊2.0是對以太坊網絡的升級,它提高了網絡的速度、效率和可擴展性,同時保持了安全性和去中心化。升級對以太坊非常重要,而這將包括三個主要階段:階段0—在信標鏈上部署和抵押.
1900/1/1 0:00:00還記得Airbnb這類民宿預訂平臺還未誕生的時候嗎?在那時,如果你想去別處旅行,就必須在當地酒店預訂房間,想要為自己找個能夠遮風擋雨的住處,并沒有多少其他選擇.
1900/1/1 0:00:00今年區塊鏈能出圈的,還真不全是比特幣。一直不溫不火的NFT市場在今年迎來爆發式增長。Coingecko數據顯示,NFT市場總量已達230億美元,僅一周內的市場增長就超過4億美元.
1900/1/1 0:00:00受美股連續4天上漲,再創新高的盤面影響,市場轉向出現反彈行情。金色財經合約行情分析 | BTC交割合約持倉創近期新高,12000美元博弈激烈:據火幣BTC永續合約行情顯示,截至今日18:00(G.
1900/1/1 0:00:00No.1機構報告 -01 A&TCapitalNFT生態架構近期AxieInfinity的各項數據非常亮眼:交易量,活躍用戶,協議費用收入,當然也包括其代幣價格.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00