Crema Finance因黑客攻击停运，Solana链上应用渐成黑客「提款机」？

7月3日，Solana链上的集中流动性DeFi应用CremaFinance因遭黑客攻击而宣布停运，该协议官方推特引用链上浏览器SolanaFM信息称，损失的加密资产价值为878.2万美元。

今日凌晨，CremaFinance披露被攻击的线程时称，黑客通过创建虚假的价格变动数据账户绕过合约检查，然后利用虚假的价格数据和闪电贷窃取了资金池中的巨额费用。

数据服务方SolanaFM在披露被盗资金流向时表示，黑客从Solana链上最大的借贷平台Solend中发起了多笔闪电贷，被盗资金中有649.7万美元已通过跨链桥Wormhole转移至以太坊网络。目前，黑客地址已在Solana和以太坊链上被列为黑名单。

今年以来，Solana链上已经发生多起安全事件，包括损失3.2亿美元的Wormhole安全事件及稳定币协议Cashio因安全漏洞的崩溃等。有用户在CremaFinance安全事件发生后表示正在从Solana链上撤出资金。

Morgan Creek Capital CEO：下一次加密牛市可能会在2023年第二季度开启:金色财经报道，Morgan Creek Capital Management 创始人兼首席执行官 Mark Yusko 对Cointelegraph表示，下一个加密货币牛市将比大多数人想象的更早开始，Yusko 认为下一次加密牛市，他称之为“加密盛夏”，可能会在今年第二季度开始，原因是更温和的央行政策和对比特币减半的预期。

Yusko 表示，虽然美联储不太可能很快降息，但市场倾向于预期美联储的决定，这意味着即使是放缓或暂停加息也会被解读为即将到来的转向信号，这将刺激包括加密货币在内的所有风险资产引发积极走势。[2023/2/4 11:46:59]

CremaFinance损失超870万美元

非洲移动银行平台Aella与Creditcoin Network合作整合其信贷历史:6月29日消息，非洲移动银行平台Aella与Creditcoin Network达成合作，以将其所有交易集成到Creditcoin的公共区块链中，从而整合透明的信贷历史。

Creditcoin在一份公告中表示，Aella的所有信贷交易都将记录在Creditcoin的区块链上，便于审核，并可通过区块浏览器查看。记录的交易将包括贷款条款以及付款和还款。

Creditcoin称，此次合作伴随着Creditcoin 2.0版本的发布，该版本的升级将使该网络更加稳定，更容易集成。（Cointelegraph）[2022/6/29 1:40:06]

CremaFinance官网显示，它是构建在Solana链上的集中流动性协议，该应用程序允许用户以低滑点兑换Solana标准下的加密资产，迄今已经处理了超过13亿美元的交易量，拥有超过38000名用户。

由于FUSD和DEI严重脱锚，DeFi借贷协议Scream出现3500万美元坏账:5月16日消息，基于Fantom的DeFi借贷协议Scream由于未能调整两种脱锚美元稳定币的价格，从而造成了3500万美元的坏账。

这两种稳定币分别是Fantom USD（FUSD）和Dei（DEI）。根据Scream仪表板的数据，这两种稳定币的报价仍为1美元。然而，它们的交易价格已经严重脱锚。其中FUSD跌至0.69美元，DEI则跌至0.52美元的低点。

鲸鱼玩家利用这一情况以折价存入大量FUSD和DEI，并从Scream平台抽走所有其他稳定币。Fantom USDT、FRAX、DAI、MIM和USDC等稳定币都已从该平台中抽走。由此一来，原本拥有这些稳定币存款的用户则无法从Scream提现。（The Block）[2022/5/16 3:20:11]

7月4日，根据CremaFinance在官方推特上更新的信息显示，攻击发生在7月2日，黑客通过创建虚假的价格变动数据账户、结合闪电贷攻击窃取了存储在该应用内的加密资产。

Morgan Creek创始人：投资者将抛弃黄金 涌向比特币:金色财经报道，Morgan Creek创始人Jason Williams在接受采访时表示，投资者将以黄金为代价涌向比特币。他预计投资者会抛弃黄金，并在资金从黄金流向比特币的同时做空黄金。[2021/3/17 18:51:10]

据CremaFinance披露，黑客首先创建了一个虚假的「Tickaccount」账户。这种账户在CremaFinance用于存储价格变动数据。创建假账户后，黑客通过将资金池的初始化Tick地址写入假账户，绕过了平台对Tick账户的例行检查；之后，黑客部署了一个合约，并用该合约从Solend完成闪电贷，为CremaFinance的资金池增加流动性；在CremaFinance平台中，交易费用的计算主要依赖于Tickaccount中的数据，「结果，真实的交易费用数据被伪造的数据替换，黑客通过从池中索取巨额费用来完成窃取。」

公告 | CRE将于2020年2月11日18:00上线BiKi:根据官方公告，CRE将于2020年2月11日18：00（GMT+8）开放交易；现已开放充值业务。

据介绍：CRE是一个以区块链技术为基础连接不同线下商店与消费者的平台。商店和消费者是凯利协议最重要的参与者，主要通过凯利协议开展多种方式的沟通与互动。此外，相信很多初始的商店都会成为广告商，通过凯利协议进行多渠道的业务营销。[2020/2/10]

简而言之即，黑客利用CremaFinance的「Tickaccount」漏洞，以闪电贷的方式操作了该协议的资金池价格，并从中获利。

Solana链上的浏览器数据提供方SolanaFM追踪了黑客的资金流向，该机构披露称，黑客从Solend平台进行了至少6笔闪电贷，有74010SOL被发现从原始钱包转移到另一个替代钱包中，然后通过Wormhole协议分5批转移到了以太坊钱包中。

CremaFinance最新信息显示，黑客已经将被盗资金兑换成69422.9SOL和6497738USDCet，其中USDCet通过跨链桥Wormhole转移至以太坊，并通过Uniswap兑换为6064ETH。结合实时价格，CremaFinance此次被窃取的加密资产价值超过878万美元。

据悉，CremaFinance团队已经通过链上消息联系了未知攻击者，如果黑客同意在72小时内归还被盗资产，该团队将给付80万美元。该团队表示，如果黑客不遵守规定，他们将联系「和法律力量」追捕黑客。

目前，黑客地址已在Solana和以太坊链上被追踪并列入黑名单。截至发稿前，黑客地址尚未出现异动，CremaFinance也仍未恢复运营。

Solana链上应用渐成黑客「提款机」

今年，与以太坊竞争DeFi市场的Solana链上生态频繁遭遇黑客光顾。

3月下旬，Solana链上的协议稳定币协议Cashio因安全漏洞导致其产生的稳定币CASH彻底崩溃。在此事件中，黑客利用了该协议的一个漏洞，使他们能够在没有足够头寸的情况下铸造无限供应的CASH。由于该事件，本应与美元挂钩的CASH失去了价值。

根据DefiLlama的数据，此次事件中，黑客从Solana链上的去中心化交易所中消耗了价值近2800万美元的流动资金，DEXSabre因此停止了CASH流动性池。

Cashio官方没有披露此次攻击造成的损失，但有安全专家根据对链上数据估算，这个稳定币协议遭受的损失达约5000万美元。

Solana链上最臭名昭著安全事件发生在今年2月，当时，连接以太坊和Solana链的跨链桥Wormhole因黑客攻击损失了超过3.2亿美元的加密资产，成为迄今为止对Solana链生态的最大攻击。

当时，攻击者通过Wormhole中的漏洞，在Solana链上铸造了12万枚封装的ETH，随后使用Wormhole将8万封装ETH换成以太坊区块链上的合法ETH，同时将另外4万封装ETH兑换成Solana链上的其他资产。

此次安全事件也让业内开始关注跨链桥的安全问题。以太坊联合创始人VitalikButerin曾在Reddit上警告跨链桥的风险，他认为，在以太坊上持有ETH的原生资产，总是比在Solana上持有ETH原生资产更安全。

有分析认为，Solana链上DeFi应用被频繁攻击，与一些应用程序不开源有关，这样就失去了白帽子们为它们发现漏洞的机会；此外，一些应用程序不谨慎地Copy以太坊链上同类应用的代码也可能导致漏洞产生。

对于DeFi运营团队来说，如何防御黑客攻击？

DeFi安全和分析公司HashEx的创始人DmitryMishunin在最近的撰文中提示，要构建安全的DeFi协议，首先要有经验丰富的区块链开发人员，他们应该有一个专业的团队领导，具有构建去中心化应用程序的技能，同时，使用安全代码库进行开发也是明智之举，「有时，与具有最新代码库的库相比，不怎么最新的库可能是最安全的选择。」

「测试是所有严肃的DeFi项目必须做的另一件事。」Mishunin说，他总是强调去中心化地保护那些用于调用受限访问智能合约功能的私钥的重要性，「最好通过多重签名使公钥去中心化，防止一个实体完全控制合同。」

标签：CRESOLOLALANALBRY Creditssol币创始人是谁solana币今日走势图solana币官网

DAI热门资讯