買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > 波場 > Info

ANC:CertiK:Crema Finance被攻擊損失880萬美元事件分析_cre8幣怎么樣

Author:

Time:1900/1/1 0:00:00

北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的CremaFinance項目遭到黑客攻擊,損失約880萬美元。

CremaFinance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。

CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶,通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim"函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。

薩爾瓦多比特幣未實現賬面損失達到6000萬美元:10月13日消息,自薩爾瓦多總統 納伊布·阿曼多·布克爾·奧特斯(Nayib Armando Bukele Ortez)宣布將比特幣設定為法定貨幣并公開宣布購買比特幣以來,該國在比特幣上的未實現賬面損失已經達到 6000 萬美元。據估計,由于比特幣價格下跌,薩爾瓦多的“比特幣實驗”及其所有相關成本使該國政府整體損失已達 3.75 億美元,不過考慮到薩爾瓦多有 77 億美元的未償債務和 290 億美元的經濟體來說,這一比例并不大。(CNBC)[2022/10/13 14:26:37]

CremaFinance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。

全國首個數幣智能合約預付資金監管場景在北京交行落地:金色財經消息,近日,交通銀行在中國人民銀行數字貨幣研究所指導下,聯合北京市朝陽區政府,成功為某教育培訓機構上線數字人民幣智能合約預付資金管理系統。該業務是全國首個基于數字人民幣智能合約生態服務平臺對預付資金進行管理的項目,實現了數字人民幣在預付資金管理領域的應用。(新華網)[2022/9/11 13:23:03]

值得注意的是,與該項目名字類似的CreamFinance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中CreamFinance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。

數據:至少持有1枚BTC的地址數創歷史新高:5月23日消息,Watcher.Guru發推稱,至少持有1枚BTC的地址數已達844,906個,創歷史新高。[2022/5/23 3:35:46]

攻擊步驟

①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。

②攻擊者利用閃電貸借出了所需的token,并被用于與CremaFinance交互時的存款。

③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。

④攻擊者通過調用“Claim”函數,獲得額外代幣。

⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。

資產去向

截稿時,CertiK安全團隊預估損失總計約為878萬美元。

大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。

寫在最后

根據現有的攻擊流程和CremaFinance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tickaccount的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證,或者這些驗證可以被輕松跳過。

類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。

CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

來源:金色財經

Tags:ANCNCENANCRETomYumGoong FinanceLeagueDAO Governance TokenCap Financecre8幣怎么樣

波場
APH:7.3行情處于三角末端 會出現假突破嗎?_Hedera Hashgraph

7.3比特幣行情解析 大盤昨日小幅震蕩,整體波動不大,低位插針至18977一線迅速收回,上方觸及19500附近承壓回落,目前幣價在19230附近震蕩,昨天沖高回落,今天橫盤.

1900/1/1 0:00:00
ETH:爆火的 Free to play 集換式卡牌鏈游-- Era7_WNFT幣

Era7:GameofTruth是一款基于BNBChain開發的元宇宙風格TCG,由區塊鏈核心技術人員和知名休閑游戲開發公司成員共同打造.

1900/1/1 0:00:00
NFT:郭志浩:寫在NFT空氣藏品崩盤前_NFTB

“投資數字藏品賠了,怎樣維權?”最近幾天,隨著數字藏品在二級市場的價格大跳水,越來越多的投資人或被腰斬套牢、或被歸零爆倉.

1900/1/1 0:00:00
以太坊:?交易所累計裁員近萬人暴露了一個秘密_bybit交易所官網

???今年的幣圈,是真的不好過。???甚至連交易所都開始撐不住了。???近期有幾家交易所的裁員,引起了不小的關注。前段時間火幣裁員,據說幅度高達30%,甚至有消息說超過40%.

1900/1/1 0:00:00
ROL:什么是以太坊區塊鏈上的第 2 層解決方案,為什么它們很重要?_TROLLBNB

第2層是指允許應用程序通過處理以太坊主網之外的事務來擴展的技術,同時保持與主網相同的安全性和去中心化。第2層解決方案提高了交易速度或吞吐量,同時降低了gas成本.

1900/1/1 0:00:00
ELE:面對加密市場下跌 分析師們都說了啥?_加密貨幣在中國合法嗎

美國證券交易委員會周三已拒絕灰度將其135億美元的灰度比特幣信托(GBTC)轉換為現貨比特幣ETF的申請.

1900/1/1 0:00:00
ads