BTC/HKD-2.33%
ETH/HKD-3.51%
LTC/HKD-2.76%
DOT/HKD-3.58%
ADA/HKD-4.76%
SOL/HKD-2.43%
XRP/HKD-4.69%
DOGE/US-4.57% 
北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的CremaFinance項目遭到黑客攻擊,損失約880萬美元。
CremaFinance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。
CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶,通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim"函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。
SaucerSwap:Hedera網絡被攻擊,建議用戶撤回流動資金:3月10日消息,Hedera 上 DeFi 項目 SaucerSwap 發推稱,一個持續的漏洞攻擊了 Hedera 網絡,該漏洞利用的目標是智能合約中的反編譯過程。攻擊者已經攻擊了包含包裝資產的 Pangolin 和 HeliSwap 池。不確定其他 HTS 代幣是否也有風險。目前還沒有關于 SaucerSwap 用戶資金被盜的報道,但作為預防措施,鼓勵大家立即撤回流動資金。
此前消息,HBAR 基金會發推稱,Hedera 網絡上 DApp 及其用戶正在受網絡異常影響,基金會正在與受影響的合作伙伴進行溝通,幫助解決問題。[2023/3/10 12:53:14]
CremaFinance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。
Aave發起提案投票,擬與Balancer進行20萬枚BAL的代幣交換:7月13日消息,Aave發起提案投票,計劃與Balancer進行BAL與AAVE的代幣交換。其中Aave將基于AAVE的90天移動平均價格,按照1枚AAVE兌換11.8292250604枚BAL的匯率,將16907.28枚AAVE交換為20萬枚BAL代幣。交易完成后,BAL代幣將被接收到主網儲備因子(RF)中。[2022/7/13 2:10:50]
值得注意的是,與該項目名字類似的CreamFinance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中CreamFinance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。
Balancer Labs將向在Balancer V2中發現漏洞的白帽黑客提供賞金:金色財經報道,Balancer Labs將向任何在其去中心化金融協議Balancer V2版本中發現漏洞的人提供最高達1000 ETH(約200萬美元)的賞金。根據該公司的網站,漏洞的級別設置為“嚴重”到“低”,高嚴重性報告將獲得1000 ETH的賞金,低嚴重性將獲得5 ETH。[2021/4/21 20:42:01]
攻擊步驟
①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。
②攻擊者利用閃電貸借出了所需的token,并被用于與CremaFinance交互時的存款。
③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。
④攻擊者通過調用“Claim”函數,獲得額外代幣。
⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。
資產去向
截稿時,CertiK安全團隊預估損失總計約為878萬美元。
大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。
寫在最后
根據現有的攻擊流程和CremaFinance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tickaccount的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證,或者這些驗證可以被輕松跳過。
類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。
CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。
Tags:CERNCEANCBALConcern Poverty ChainBiscuit Farm FinanceHibiki FinanceHerbalist Token
報告分為上中下三篇發放:上篇闡述報告的第一章節探尋人類交易史的意義和第二章節歷史背景;中篇敘述證券交易所、加密貨幣交易所和去中心化交易所的技術發展;下篇說明三種交易所市場結構的形成與演進、突破性.
1900/1/1 0:00:00原文作者:?SnehaPrajapati 去中心化為什么重要? 資本主義世界的運行原則是獲取更多的資源,這其中包括從他人身上獲取財富.
1900/1/1 0:00:00原文作者:?SnehaPrajapati 去中心化為什么重要? 資本主義世界的運行原則是獲取更多的資源,這其中包括從他人身上獲取財富.
1900/1/1 0:00:00隨著Terra生態系統的崩潰、以及加密領域重要參與者的暴雷我們正在經歷著史無前例的“加密寒冬”.
1900/1/1 0:00:001.金色觀察|BNB鏈:一個不斷發展的巨頭BNB鏈是以太坊的替代方案,自成立以來快速增長。它能成功地保持其作為世界上最有價值的加密資產之一的地位,原因有幾個.
1900/1/1 0:00:00信息時代的人民法院是什么模樣?近日,最高人民法院發布《最高人民法院關于加強區塊鏈司法應用的意見》,進一步推進人民法院運用以區塊鏈為代表的關鍵技術加速數字化變革.
1900/1/1 0:00:00
加密貨幣交易所
