北京时间2022年7月3日,CertiK安全团队监测到Solana链上的CremaFinance项目遭到黑客攻击,损失约880万美元。
CremaFinance是一个建立在Solana上强大的流动性协议,为交易者和流动性提供者提供各项功能。在发现黑客攻击后,该项目方暂时终止了项目运行,以防止攻击者从平台上盗取更多资金。
CertiK安全团队进行了初步调查,认为在这次黑客攻击中,攻击者通过使用Solend协议中的6个不同闪电贷来利用合约。攻击者伪造tick账户,通过存入和提取借来的代币,并调用了如下三个函数来实现攻击:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。当调用”Claim"函数时,黑客利用先前伪造的tick账户能够获得额外的代币。
Arbitrum:未出售5000万ARB,仅其中1000万被兑换为法币用于运营成本:金色财经报道,Arbitrum已在官方推特就治理争议作出回应,并转发了一篇发布于官方治理论坛的长篇澄清。
关于治理提案中涉及的一些争议,Arbitrum对此解释道:随着DAO的推出,产生了一个“先有鸡还是先有蛋”的问题,很多决定必须在正式发布之前做出。
关于AIP-1,Arbitrum则指出,该提案的目标是让社区参与初始决策,最终让代币持有者通过DAO投票批准初始决策和框架。
关于5000万ARB的链上转账,Arbitrum作出澄清:基金会没有出售5000万枚ARB代币。其中4000万枚被作为贷款分配给金融市场中的一个精明的参与者,剩下的1000万则被兑换成法定货币,并用于运营成本。[2023/4/3 13:40:59]
CremaFinance随后联系了攻击者并称“黑客有72小时的时间考虑成为白帽黑客,并保留80万美元”。
Michael Saylor:正为大企业加入比特币闪电网络研究解决方案:金色财经消息,MicroStrategy执行主席Michael Saylor表示,该公司的开发人员正在研究允许大量人员加入闪电网络(Lightning)的解决方案,包括闪电网络的企业应用:企业闪电钱包、企业闪电服务器、企业身份验证。
据悉,闪电协议允许用户在链上结算之前相互打开支付渠道并交换多笔交易,这有助于最大限度地减少费用和确认时间。在比特币网络中,交易通常需要 10 分钟或更长时间才能被确认。(CoinDesk)[2022/9/5 13:09:15]
值得注意的是,与该项目名字类似的CreamFinance于2021年10月也遭遇过毁灭性的闪电贷攻击,该攻击中CreamFinance被黑客盗取了约1.3亿美元资金。虽然这两起攻击事件并不相关,但这两个相似名字的项目遭遇的两起攻击都显示出了合约安全的重要性:黑客能够以惊人的方式利用闪电贷来进行各种各样的攻击。
Luna的韩国投资者达28万人 持有量达809亿枚:5月24日消息,在今日韩国执政党和政府就Luna和Terra USD(UST )的崩盘召开的紧急会议上,韩国金融服务委员会金融情报室(FIU)表示,截止5月18日,Luna的韩国投资者达28万人,持有量达809亿枚,总市值为339亿韩元,与该国虚拟资产市值相比仅为0.08%。
FIU表示,在“Luna事件”发生之前的5月6日,韩国用户为10万人,保有量达317万枚,但在“Luna事件”发生后,价格下降的10多天里,持有量和保有量急剧增加。
FIU将此次luna事件称为“死亡漩涡”,并指出,因此次事件,人们已经失去了对Terra系统稳定性的信任,对算法稳定币的疑惧正在增加。(韩联社)[2022/5/24 3:38:11]
攻击步骤
①攻击者准备了一个假的tick账户,方便在调用“Claim”函数时使用。
②攻击者利用闪电贷借出了所需的token,并被用于与CremaFinance交互时的存款。
③攻击者调用“DepositFixTokenType”函数,通过该函数将通过闪电贷借来的金额存入相应的pool。
④攻击者通过调用“Claim”函数,获得额外代币。
⑤最后,攻击者调用“WithdrawAllTokenTypes”函数,将最初存入的代币取回。
资产去向
截稿时,CertiK安全团队预估损失总计约为878万美元。
大约7万SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY账户中,而分批被盗的资产已被转移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。这些资金被桥接到ETH主网,并被发送到0x8021b2962db803b73aa874030b0b42c202e8458f。
写在最后
根据现有的攻击流程和CremaFinance公布的信息来看,本次攻击的起因为项目方代码缺少对于tickaccount的验证。作为存储价格信息的重要数据账户,源代码可能并没有做数据来源、所有者验证,或者这些验证可以被轻松跳过。
类似的账户检查缺失屡见不鲜,可以说账户如何安全使用是Solana程序的重中之重。类似的例子包括但不限于账户所有者验证的缺失、不同用户的数据账户混用等等。
CertiK安全专家在此建议:在程序编写时需注意账户的使用和其之间的联系。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。