北京时间2022年7月3日,CertiK安全团队监测到Solana链上的CremaFinance项目遭到黑客攻击,损失约880万美元。
CremaFinance是一个建立在Solana上强大的流动性协议,为交易者和流动性提供者提供各项功能。在发现黑客攻击后,该项目方暂时终止了项目运行,以防止攻击者从平台上盗取更多资金。
当前zkSyncEra TVL达到9392万美元,超过zkSync Lite:金色财经报道,据L2BEAT数据显示,zkSync Era在推出一周后网络总锁仓量(TVL)目前达到9392万美元,超过zkSync Lite(8622万美元)。[2023/4/1 13:39:27]
CertiK安全团队进行了初步调查,认为在这次黑客攻击中,攻击者通过使用Solend协议中的6个不同闪电贷来利用合约。攻击者伪造tick账户,通过存入和提取借来的代币,并调用了如下三个函数来实现攻击:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。当调用”Claim"函数时,黑客利用先前伪造的tick账户能够获得额外的代币。
Ceramic宣布集成Chainlink VRF,用于构建更多动态NFT的工具集:去中心化网络存储协议Ceramic宣布集成Chainlink VRF,用于构建更多动态NFT的工具集。Ceramic是一个主权数据网络,可让开发人员在区块链和IPFS上构建丰富的应用程序。Ceramic的免许可数据流网络直接在去中心化的网络上存储信息流和不断变化的文件,而无需后端。由于所有数据均由跨链身份直接管理,因此很容易跨应用程序边界发现和共享内容。[2021/8/22 22:29:36]
CremaFinance随后联系了攻击者并称“黑客有72小时的时间考虑成为白帽黑客,并保留80万美元”。
声音 | 巴西医生Bettina Grajcer:未来健康行业将使用区块链技术共享医疗数据:据Cointelegraph 12月7日消息,巴西商人兼医生Bettina Grajcer在最近发文表示,健康行业正经历着独特的转型时刻,未来的趋势将是使用区块链等技术。她表示,将来应使用区块链共享医疗数据。[2019/12/8]
值得注意的是,与该项目名字类似的CreamFinance于2021年10月也遭遇过毁灭性的闪电贷攻击,该攻击中CreamFinance被黑客盗取了约1.3亿美元资金。虽然这两起攻击事件并不相关,但这两个相似名字的项目遭遇的两起攻击都显示出了合约安全的重要性:黑客能够以惊人的方式利用闪电贷来进行各种各样的攻击。
攻击步骤
①攻击者准备了一个假的tick账户,方便在调用“Claim”函数时使用。
②攻击者利用闪电贷借出了所需的token,并被用于与CremaFinance交互时的存款。
③攻击者调用“DepositFixTokenType”函数,通过该函数将通过闪电贷借来的金额存入相应的pool。
④攻击者通过调用“Claim”函数,获得额外代币。
⑤最后,攻击者调用“WithdrawAllTokenTypes”函数,将最初存入的代币取回。
资产去向
截稿时,CertiK安全团队预估损失总计约为878万美元。
大约7万SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY账户中,而分批被盗的资产已被转移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。这些资金被桥接到ETH主网,并被发送到0x8021b2962db803b73aa874030b0b42c202e8458f。
写在最后
根据现有的攻击流程和CremaFinance公布的信息来看,本次攻击的起因为项目方代码缺少对于tickaccount的验证。作为存储价格信息的重要数据账户,源代码可能并没有做数据来源、所有者验证,或者这些验证可以被轻松跳过。
类似的账户检查缺失屡见不鲜,可以说账户如何安全使用是Solana程序的重中之重。类似的例子包括但不限于账户所有者验证的缺失、不同用户的数据账户混用等等。
CertiK安全专家在此建议:在程序编写时需注意账户的使用和其之间的联系。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。
标签:CERNCEFINCRECERBERUSKani.financeCocktails FinanceCream ETH 2
原文作者:AngadSinghBagga原文编译:黑米@白泽研究院注:Angad是富达国家信息服务公司的高级AI产品负责人,负责数据科学和机器学习项目的整体业务.
1900/1/1 0:00:00SolanaLabs联合创始人AnatolyYakovenko宣布了一套产品,旨在挖掘区块链与智能手机集成的潜力。根据官方帖子,数字资产行业和该网络已经发展并支持数百万用户,但显然,他们目前仅依赖于桌面应用程序.
1900/1/1 0:00:00今年以来,对全球经济衰退和40多年来最严重通胀的担忧给新兴的加密货币市场造成了严重破坏。即将进入8月,加密行业并未出现复苏的迹象.
1900/1/1 0:00:00北京时间2022年6月8日晚7点左右,CertiK审计团队监测到ApolloX项目遭受黑客攻击,其代币价格骤降52.12%。该项目于2021年12月启动,APX作为ApolloX交易所的原生代币,是币安智能链上的一个BEP-20代币.
1900/1/1 0:00:00July.2022,VincyDataSource:FootprintAnalytics-PolygonDashboard近期市场的崩盘已将许多加密资产价格拖至接近零的底部,尤其是UST和LUNA的暴跌.
1900/1/1 0:00:00北京时间2022年5月6日凌晨3:30,CertiK安全技术团队监测到DayOfDefeat(DOD)项目代币价格暴跌94.68%。经CertiK多方面证实,该项目有极高的RugPull风险.
1900/1/1 0:00:00