買比特幣 買比特幣
Ctrl+D 買比特幣
ads

certik:CertiK:Crema Finance被攻擊損失880萬美元事件分析_certik幣價

Author:

Time:1900/1/1 0:00:00

北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的CremaFinance項目遭到黑客攻擊,損失約880萬美元。

CremaFinance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。

CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶,通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim"函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。

CertiK:Poly Network攻擊者將約440.9枚ETH轉至EOA地址:金色財經報道,據CertiK官方推特發布消息稱,Poly Network攻擊者將約440.9枚ETH轉至EOA地址(0x712)。3.88萬枚METIS代幣也已被轉入EOA地址(0x087)。[2023/7/9 22:27:16]

CremaFinance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。

值得注意的是,與該項目名字類似的CreamFinance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中CreamFinance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。

CertiK:NEO TOKYO項目Discord服務器遭到攻擊:金色財經消息,據CertiK監測,NEO TOKYO項目Discord服務器遭到攻擊,并發布了一條釣魚鏈接。請社區用戶在頻道修復之前不要點擊任何鏈接。[2022/12/18 21:52:23]

攻擊步驟

①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。

②攻擊者利用閃電貸借出了所需的token,并被用于與CremaFinance交互時的存款。

安全機構:Gate.io蟬聯CER全球交易平臺安全測評第一名:根據國際第三方安全機構CER 8月最新交易所安全測評排名顯示,Gate.io的網絡安全分數升至9.65分,蟬聯CER全球交易平臺安全測評第一名,同時獲評全球最值得信任的20個交易平臺稱號首位,在CER、CoinGecko等多個榜單中位居榜首。此前7月,Gate.io已在該評分中獲得9.38分,在全球100個交易平臺中排名第一。CER成立于2018年,是業內第一個公開批評現有交易量指標的加密貨幣交易所排名平臺,其安全標準被CoinGecko、CoinMarketCap等權威行情網站所廣泛使用。[2020/9/1]

③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。

④攻擊者通過調用“Claim”函數,獲得額外代幣。

⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。

資產去向

截稿時,CertiK安全團隊預估損失總計約為878萬美元。

大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。

寫在最后

根據現有的攻擊流程和CremaFinance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tickaccount的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證,或者這些驗證可以被輕松跳過。

類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。

CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags:CERCERTcertikTIKCEREcertik幣價TIKI價格

以太坊價格
WEB:冷風說幣:btc爆拉一波,突破還是騙炮?今天行情很重要!_區塊鏈運用的技術中不包括哪一項內容

市場消息 6月份全球區塊鏈領域融資總數量為202筆,較5月份的221筆環比下降8.6%。6月份融資金額達38.52億美元,較5月份減少8.18億美元,環比下降17.52%.

1900/1/1 0:00:00
區塊鏈:上海市:到2025年,“元宇宙”相關產業規模達到3500億元_METAWEB3PA幣

7月8日消息,上海市發布培育“元宇宙”新賽道行動方案。其主要目標包括:產業綜合優勢顯著增強。到2025年,“元宇宙”相關產業規模達到3500億元,帶動全市軟件和信息服務業規模超過15000億元、.

1900/1/1 0:00:00
ETH:解析NFT和ETH之間相關性:為何崩潰程度低于 ETH?_ETHY幣

簡介 自從去年夏季的瘋狂漲勢后,NFT正面臨有史以來的市場冷靜期。我們在第一篇文章中調查了藍籌股NFT的表現,這篇文章中將繼續研究推動NFT市場價格變化的宏觀趨勢.

1900/1/1 0:00:00
LID:以太坊在合并后將面臨哪些潛在的中心化風險?_VSolidus

原文作者:TJKeel 原文編譯:DeFi之道 以太坊合并將給以太坊帶來新的中心化問題,這一問題主要體現在三個方面.

1900/1/1 0:00:00
COI:CoinW幣贏立足成長性項目 財富效應初顯_FreldoCoinX

隨著比特幣等加密貨幣不斷被熟知,用戶參與熱情逐漸高漲,市場中不斷涌現出一批批新的項目并上線交易所。但是大多數項目由于動機不純或者沉淀不足,都曇花一現。而對廣大投資者而言,卻是真金白銀的損失.

1900/1/1 0:00:00
ripple:金色晚報 | 7月1日晚間重要動態一覽_PLE

12:00-21:00關鍵詞:Ankr、DappRadar、Finblox、馬斯克、ARK基金1.Web3基礎設施協議Ankr的Polygon和FantomRPC服務疑遭劫持;2.

1900/1/1 0:00:00
ads