北京时间2022年7月3日,CertiK安全团队监测到Solana链上的CremaFinance项目遭到黑客攻击,损失约880万美元。
CremaFinance是一个建立在Solana上强大的流动性协议,为交易者和流动性提供者提供各项功能。在发现黑客攻击后,该项目方暂时终止了项目运行,以防止攻击者从平台上盗取更多资金。
CertiK:EFVault的代理合约ENF ETHLEV经历了一次闪电贷攻击:金色财经报道,据CertiK官方推特发布消息称,EFVault的代理合约ENF_ETHLEV经历了一次闪电贷攻击。据悉,攻击者进行了多笔利用攻击,获利528,000美元。[2023/8/9 21:34:23]
CertiK安全团队进行了初步调查,认为在这次黑客攻击中,攻击者通过使用Solend协议中的6个不同闪电贷来利用合约。攻击者伪造tick账户,通过存入和提取借来的代币,并调用了如下三个函数来实现攻击:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。当调用”Claim"函数时,黑客利用先前伪造的tick账户能够获得额外的代币。
Balancer生态收益治理平台Aura Finance发起部署至Optimism的治理投票:7月8日消息,Balancer生态收益治理平台Aura Finance发起部署至Optimism的治理投票,投票截止日期为7月10日2:00,一旦投票获得通过,跨链合约将部署至Optimism。
此前报道,6月份Aura Finance已上线Arbitrum。[2023/7/8 22:25:34]
CremaFinance随后联系了攻击者并称“黑客有72小时的时间考虑成为白帽黑客,并保留80万美元”。
值得注意的是,与该项目名字类似的CreamFinance于2021年10月也遭遇过毁灭性的闪电贷攻击,该攻击中CreamFinance被黑客盗取了约1.3亿美元资金。虽然这两起攻击事件并不相关,但这两个相似名字的项目遭遇的两起攻击都显示出了合约安全的重要性:黑客能够以惊人的方式利用闪电贷来进行各种各样的攻击。
五个CryptoPunks NFT指数基金从Balancer迁移到SushiSwap:2月17日消息,NFT指数基金NFTX表示,CryptoPunks NFT指数基金从Balancer迁移到SushiSwap。NFTX是用于制作由NFT支持的ERC20代币的平台。这些代币被称为基金(funds),并且(像所有ERC20一样)是可替代的和可组合的。据悉,CryptoPunk是由Larva Labs团队创建的10,000个唯一生成的角色,根据基础NFT的特定特征将总共??5个CryptoPunks NFT基金的流动性转移到SushiSwap,分别为:PUNK(组合基金)、PUNK-BASIC、PUNK-FEMALE、PUNK-ATTR-4、PUNK-ATTR-5和PUNK-ZOMBIE。[2021/2/17 17:24:02]
攻击步骤
①攻击者准备了一个假的tick账户,方便在调用“Claim”函数时使用。
②攻击者利用闪电贷借出了所需的token,并被用于与CremaFinance交互时的存款。
③攻击者调用“DepositFixTokenType”函数,通过该函数将通过闪电贷借来的金额存入相应的pool。
④攻击者通过调用“Claim”函数,获得额外代币。
⑤最后,攻击者调用“WithdrawAllTokenTypes”函数,将最初存入的代币取回。
资产去向
截稿时,CertiK安全团队预估损失总计约为878万美元。
大约7万SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY账户中,而分批被盗的资产已被转移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。这些资金被桥接到ETH主网,并被发送到0x8021b2962db803b73aa874030b0b42c202e8458f。
写在最后
根据现有的攻击流程和CremaFinance公布的信息来看,本次攻击的起因为项目方代码缺少对于tickaccount的验证。作为存储价格信息的重要数据账户,源代码可能并没有做数据来源、所有者验证,或者这些验证可以被轻松跳过。
类似的账户检查缺失屡见不鲜,可以说账户如何安全使用是Solana程序的重中之重。类似的例子包括但不限于账户所有者验证的缺失、不同用户的数据账户混用等等。
CertiK安全专家在此建议:在程序编写时需注意账户的使用和其之间的联系。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。
标签:NCEANCCERNANCairo FinanceSalvation FinanceSoccerHubSalvation Finance
币安和FTX作为加密货币交易所的老大和老二,全方位的竞争和博弈在所难免,这一次推特的公开化互嘲,也许仅仅只是开始.
1900/1/1 0:00:00头条▌李家超:香港会推进探索CBDC在零售层面的应用场景7月9日消息,香港特别行政区行政长官李家超在“2022财新夏季峰会:应对不确定性”上致辞.
1900/1/1 0:00:00要么像英雄那样死去,要么活得足够长,变成一个恶棍。——《黑暗骑士》随着美联储实施紧缩政策,市场流动性正在迅速枯竭。因此,加密货币市场也面临寒冬.
1900/1/1 0:00:00Web2消费互联网卷不动了,Web3“阉割版NFT”数字藏品跟元宇宙营销被骂泡沫跟噱头,互联网人还能从哪儿找增量?好赚的钱赚完了,难迈的坎儿还得迈.
1900/1/1 0:00:00译者语“不存在什么财产,不存在什么支配,也没有我的和你的之分;每个人能得到的就是他的,只要他能保得住.
1900/1/1 0:00:00比推消息,美国证券交易委员会主席?GaryGensler?周一在接受CNBC采访时表示,比特币是加密货币中唯一的”商品“类别,其他许多加密金融资产具有证券的关键属性.
1900/1/1 0:00:00