北京时间2022年7月3日,CertiK安全团队监测到Solana链上的CremaFinance项目遭到黑客攻击,损失约880万美元。
CremaFinance是一个建立在Solana上强大的流动性协议,为交易者和流动性提供者提供各项功能。在发现黑客攻击后,该项目方暂时终止了项目运行,以防止攻击者从平台上盗取更多资金。
CertiK安全团队进行了初步调查,认为在这次黑客攻击中,攻击者通过使用Solend协议中的6个不同闪电贷来利用合约。攻击者伪造tick账户,通过存入和提取借来的代币,并调用了如下三个函数来实现攻击:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。当调用”Claim"函数时,黑客利用先前伪造的tick账户能够获得额外的代币。
Circle宣布开设开发者社区官方推特账户:金色财经报道,美元稳定币USDC发行方Circle在社交媒体宣布已在推特开设其开发者社区官方账户,继续通过社区、教育和工具为开发人员提供支持。[2023/4/23 14:20:51]
CremaFinance随后联系了攻击者并称“黑客有72小时的时间考虑成为白帽黑客,并保留80万美元”。
值得注意的是,与该项目名字类似的CreamFinance于2021年10月也遭遇过毁灭性的闪电贷攻击,该攻击中CreamFinance被黑客盗取了约1.3亿美元资金。虽然这两起攻击事件并不相关,但这两个相似名字的项目遭遇的两起攻击都显示出了合约安全的重要性:黑客能够以惊人的方式利用闪电贷来进行各种各样的攻击。
加密平台BitMex上线FTT衍生品交易,最高支持50倍杠杆:11月8日消息,加密平台BitMex发文称,已经上线FTX衍生品交易,用户可以使用BTC和USDT作为保证金,最高支持50倍杠杆。(BitMex)[2022/11/8 12:32:28]
攻击步骤
①攻击者准备了一个假的tick账户,方便在调用“Claim”函数时使用。
②攻击者利用闪电贷借出了所需的token,并被用于与CremaFinance交互时的存款。
③攻击者调用“DepositFixTokenType”函数,通过该函数将通过闪电贷借来的金额存入相应的pool。
以太坊Layer2总锁仓量跌至47.1亿美元,7日跌幅2.6%:金色财经报道,据L2BEAT数据显示,当前以太坊Layer2总锁仓量跌至47.1亿美元,7日跌幅2.6%。其中,锁仓量前五分别为:Arbitrum(23.8亿美元,7日跌幅5.50%);Optimism(14.5亿美元,7日涨幅3.09%);dYdX(3.85亿美元,7日跌幅6.67%);Loopring(1.42亿美元,7日跌幅2.1%);MetisAndromeda(1.16亿美元,7日跌幅0.84%)。[2022/10/1 22:44:07]
④攻击者通过调用“Claim”函数,获得额外代币。
⑤最后,攻击者调用“WithdrawAllTokenTypes”函数,将最初存入的代币取回。
资产去向
截稿时,CertiK安全团队预估损失总计约为878万美元。
大约7万SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY账户中,而分批被盗的资产已被转移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。这些资金被桥接到ETH主网,并被发送到0x8021b2962db803b73aa874030b0b42c202e8458f。
写在最后
根据现有的攻击流程和CremaFinance公布的信息来看,本次攻击的起因为项目方代码缺少对于tickaccount的验证。作为存储价格信息的重要数据账户,源代码可能并没有做数据来源、所有者验证,或者这些验证可以被轻松跳过。
类似的账户检查缺失屡见不鲜,可以说账户如何安全使用是Solana程序的重中之重。类似的例子包括但不限于账户所有者验证的缺失、不同用户的数据账户混用等等。
CertiK安全专家在此建议:在程序编写时需注意账户的使用和其之间的联系。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。
来源:金色财经
标签:CRENCEFINAFINCREDITSqueezetoken FinanceSpray FinanceYFS.Finance
L2需要做好充足准备以迎接用户的到来,不能低估了用户的参与程度和高估了网络性能。北京时间6月29日晚,在Arbitrum奥德赛活动第二阶段启动的第一天,由于链上的繁重负载导致高于正常的gas费用.
1900/1/1 0:00:00随着区块链的国际化发展,区块链的教育越来越受到重视。虽然国内鲜有区块链相关的课程,但是在世界各地高校已经开始着手于区块链的相关教育及未来发展.
1900/1/1 0:00:00加密行业的快速发展,让世界金融格局有了不小的变化。尽管目前整个加密市场处于相对低迷的状态,但是行业的仍在快速的向前发展。加密市值波动相比较于传统的市场,其高度不稳定的行情引起了一些人的担忧.
1900/1/1 0:00:00近日,由FonFun孵化的首个GameFi链游,JockeyClub,圆满完成初始盲盒的销售。据FonFun官网和bscscan数据显示,此次JockeyClubNFT盲盒总共销售出7839个,
1900/1/1 0:00:00大饼再次跌破1.9万美元至18926美元低点,这是自6月19日比特币创下17618美元低点后的最低价格;而以太坊也跌至一周低点1012美元,加密货币因此处于全面下跌状态.
1900/1/1 0:00:00原文作者:@web3fox 图片来源:foxindex自2020年初,整个市场的市值,从4.6B暴增到了139.6B,增加了?30倍.
1900/1/1 0:00:00