月亮链 月亮链
Ctrl+D收藏月亮链
首页 > AVAX > 正文

CRE:Cream Finance重入漏洞事件分析-ODAILY_1INCH

作者:

时间:1900/1/1 0:00:00

前言

8月30日,知道创宇区块链安全实验室监测到以太坊上的DeFi协议CreamFinance遭遇重入漏洞袭击,损失超1800万美元。实验室第一时间跟踪本次事件并分析。

涉及对象

攻击涉及合约地址:

0x38c40427efbaae566407e4cde2a91947df0bd22b

0x0ec306d7634314d35139d1df4a630d829475a125

Incredibuild完成3500万美元B轮融资,Hiro Capital领投:6月27日消息,分布式软件和游戏开发加速平台Incredibuild 完成3500万美元B轮融资,Hiro Capital领投,Insight Partners参投,估值已接近8亿美元。

这笔最新融资将推动Incredibuild在人工智能、元宇宙等众多行业的创新和增长。Incredibuild 模式与点对点网络相似,其想法是在任何给定时间,组织网络中都有空闲CPU,然后有效地划分繁重的代码并将其分发到这些CPU实时运行处理。另据Incredibuild公司首席执行官Tami Mazel Shachar透露,去中心化金融“绝对是该公司在不久将来的一个选择和一个需要专注的领域。”(PR Newswire)[2022/6/28 1:34:47]

受害涉及合约地址:

美国著名导演Kevin Smith将在Secret Network上发行其最新电影NFT系列:4月6日消息,美国著名导演Kevin Smith周三宣布,将发行自己最新电影《KillRoy Was Here》的NFT系列。

Smith将在Cosmos生态的Secret Network上发行该NFT,该网络曾在去年11月发布过昆汀·塔伦蒂诺(Quentin Tarantino)《低俗小说》的NFT。虽然“KillRoy”NFT计划已经讨论了大约一年,但其细节现在才公布。发布日期预定在第二季度。

与塔伦蒂诺的收藏品一样,Smith的NFT系列将包括电影本身以及额外的幕后镜头,只有NFT持有者才能看到,一共将有5555件NFT。Smith的计划是,持有者可以利用这些NFT涉及的角色创作自己的内容,其中最好的作品将作为电影的续集。(CoinDesk)[2022/4/6 14:08:47]

CErc20Delegator:0x2db6c82ce72c8d7d770ba1b5f5ed0b6e075066d6

Cream Finance:COVER和1INCH对ETH的抵押系数已从0%提升至45%:Cream Finance发推表示,提案已执行,COVER和1INCH对ETH上的抵押系数已从0%提升至45%。[2021/2/1 18:37:53]

CEther:0xd06527d5e56a3495252a528c4987003b712860ee

Amp:0xff20817765cb7f73d4bde2e66e067e58d11095c2

简述攻击流程

首先黑客通过合约0x38c4进行闪电贷借出启动资金500ETH

Cream Finance将于9月20日销毁67.5%的CREAM代币:据官方博客消息,Cream Finance将于9月20日销毁6,075,000个CREAM代币,占当前供应量的67.5%。此次销毁包括100%的管理代币和75%的种子代币。[2020/9/20]

抵押ETH获得凭证

通过合约0x38c4调用CErc20Delegator合约借出19,480,000AMP

通过重入漏洞继续调用CEther合约借出355ETH

使用合约0x0ec3对合约0x38c4进行超额借贷清算

合约0x38c4转移凭证给合约0x0ec3赎回约187ETH

归还闪电贷

漏洞成因分析

获利条件

borrowFresh函数在发生借贷时是先通过doTransferOut函数转账,再记录最新变化

攻击条件

doTransferOut函数包含的transfer函数会使用_callPostTransferHooks函数会回调调用合约的tokensReceived函数

总结

本次闪电贷安全事件主要是项目方在设计代币时没考虑到协议之间的兼容性引发的重入危机,其实在前段时间已经爆出拥有类似回调功能的ERC777代币存在重入漏洞,如果项目方及时发现跟进,应该能减少甚至避免损失。

知道创宇区块链安全实验室再次提醒近期各链上频频爆发攻击事件,合约安全愈发需要得到迫切重视,合约审计、风控措施、应急计划等都有必要切实落实。

标签:CRENFTETHINCYucreatKNFT价格Opyn Squeeth1INCH

AVAX热门资讯
区块链:下一个颠覆的领域:区块链如何影响审计行业?(下)-ODAILY_PENDULUM

链集市·让区块链落地更简单 《区块链行业观察》专栏·第38篇作者丨NajouaElommal,RiadhManita图片丨来源于网络编者注:原报告来自NajouaElommal、RiadhMan.

1900/1/1 0:00:00
POL:Polkadot 连发三文,开启 Kusama 第二轮拍卖 | 波卡周报-ODAILY_polkadot代币

PolkadotWeb3基金会研究科学家JonasGehrlein发布了一篇关于Kusama首轮平行链插槽拍卖的总览报告,PolkaWorld总结重要观点如下:通过前5次的拍卖.

1900/1/1 0:00:00
ENS:ENS:Web3登陆新范式 | 代币观察-ODAILY_ETH

前言回头看2017年的ICO狂热,像素头Cryptopunks带着ERC721标准刚刚出道,Decentraland还有连倾的土地等待冒险家们拓荒,ENS刚上线首轮长域名拍卖……四年过去.

1900/1/1 0:00:00
比特币:7月份NFT销售额突破12亿美元,以太坊市值有望超越比特币|行业周报-ODAILY_NFTY币

欧易OKEx情报局行业周报带你快速回顾行业动态,厘清产业动向。目录:行情概览机构与公司动态加密资产市场DeFi/NFT/Layer2动态行业声音行情概览根据CoinGecko数据,截至2021年.

1900/1/1 0:00:00
NFT:NFT 终极存储方案:IPFS 和 Filecoin?-ODAILY_STOR

近年来,随着NFT在数字资产领域的人气不断上升,越来越多的人开始认识到它所蕴含的巨大价值,NFT具有的独特属性令其成为以数字形式保存人类文化的绝佳方式,围绕着它所构建的各类应用层出不穷.

1900/1/1 0:00:00
EMI:从登录到提现:打金链游传奇4的最全参与攻略-ODAILY_MIX

近段时间,传奇4的火热也让不少小伙伴们高呼爷青回,特别是加密市场的部分小伙伴,一边玩着青少年时期都为之狂热的游戏,一边还能用自己熟悉的方式在上面牟利,以往都是在游戏上花钱.

1900/1/1 0:00:00