北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的Crema Finance項目遭到黑客攻擊,損失約880萬美元。
Crema Finance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。
CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶, 通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim "函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。
數據:Lido節點運營商Certus One向Binance存入200萬枚LDO:金色財經報道,Spot On Chain監測顯示,Certus One(Lido Finance節點運營商和投資者))于6.5小時前以2.255美元的價格向Binance存入200萬枚LDO(約451萬美元)。Certus One于2020年從Lido Finance收到了1000萬枚LDO,并一直持有至今。行情數據顯示,LDO過去24小時內價格上漲了26%。[2023/7/14 10:54:53]
Crema Finance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。
CertiK:UN token上有一個惡意的閃電貸款,請大家保持警惕:金色財經報道,CertiK檢測到UN token上有一個惡意的閃電貸款,由于燃燒機制缺陷,該漏洞有可能被利用,請大家保持警惕。Bsc: 0x1aFA48B74bA7aC0C3C5A2c8B7E24eB71D440846F 。[2023/6/6 21:20:04]
值得注意的是,與該項目名字類似的Cream Finance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中Cream Finance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。
Perpetual Protocol推出Balancer PERP/USDC LP獎勵計劃:金色財經報道,據官方Medium文章消息,DeFi衍生品協議Perpetual Protocol宣布推出針對Balancer Shared Pool (BSP) 的PERP/USDC LP獎勵計劃。PERP/USDC流動性獎勵計劃將向為Balancer Shared Pool (BSP)池提供流動性的持幣者提供獎勵。流動性提供者(LP)將根據他們提供流動性的時間和資金池中的份額按比例獲得獎勵。[2020/12/22 16:01:56]
攻擊步驟
①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。
②攻擊者利用閃電貸借出了所需的token,并被用于與Crema Finance交互時的存款。
③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。
④攻擊者通過調用“Claim”函數,獲得額外代幣。
⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。
資產去向
截稿時,CertiK安全團隊預估損失總計約為878萬美元。
大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。
寫在最后
根據現有的攻擊流程和Crema Finance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tick account的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證, 或者這些驗證可以被輕松跳過。
類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。
CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警(攻擊、欺詐、跑路等)相關的信息。
Tags:ANCNCECERERTBalancerYearn Finance Bit2Asia Influencer PlatformcarVertical
原文來源:altcoinbuzz誰是第一家購買比特幣的上市公司?事實上,就是大名鼎鼎的全球商業智能軟件開發商MicroStrategy.
1900/1/1 0:00:007月7日,Uniswap Labs在社交媒體向用戶征求NFT產品功能意見,這預示著Uniswap 的NFT交易業務進入上線倒計時.
1900/1/1 0:00:00實際上對于國潮IP們來說,長青的生命力和提及便是大范圍的影響力似乎并不新奇。2018年,故宮博物院將中國文化賦予文創產品,打造出了一個“故宮文創”,在年輕人的心中留下了對于“國潮”最初的印象.
1900/1/1 0:00:00鄧建鵬:中央財經大學法學院教授、金融科技法治研究中心主任李嘉寧:中央財經大學法學院碩士研究生原題《數字藝術品的權利憑證——NFT的價值來源、權利困境與應對方案》本文載于《探索與爭鳴》2022年第.
1900/1/1 0:00:00Fake_Phishing156044 已將21枚ETH經由EOA地址轉入Tornado Cash:金色財經消息,據CertiK官方推特發布消息.
1900/1/1 0:00:002022 年,人們對元宇宙的興趣猛增,幾乎每周都有新報告稱另一個組織投資 Web3或創建新的NFT產品線,麥肯錫的一份新報告闡述了這一新興投資背后的原因.
1900/1/1 0:00:00