北京时间2022年7月3日,CertiK安全团队监测到Solana链上的Crema Finance项目遭到黑客攻击,损失约880万美元。
Crema Finance是一个建立在Solana上强大的流动性协议,为交易者和流动性提供者提供各项功能。在发现黑客攻击后,该项目方暂时终止了项目运行,以防止攻击者从平台上盗取更多资金。
CertiK安全团队进行了初步调查,认为在这次黑客攻击中,攻击者通过使用Solend协议中的6个不同闪电贷来利用合约。攻击者伪造tick账户, 通过存入和提取借来的代币,并调用了如下三个函数来实现攻击:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。当调用”Claim "函数时,黑客利用先前伪造的tick账户能够获得额外的代币。
Larry Cermak:Customers Bank等银行仍为加密行业提供服务:3月13日消息,The Block研究总监Larry Cermak发推称,为加密货币业务提供银行服务的三家美国银行被淘汰。不过,Customers Bank、First Foundation Bank、Cross River Bank、Sutton Bank、Evolve Bank & Trust、BankProv、Quontic Bank等银行仍然提供加密货币银行服务。Larry Cermak表示,自己没有提到像摩根大通、 纽约梅隆银行这样的大银行,是因为大多数小企业都无法使用这些银行。[2023/3/13 13:00:38]
Crema Finance随后联系了攻击者并称“黑客有72小时的时间考虑成为白帽黑客,并保留80万美元”。
Balancer前端短时屏蔽YFII流动性挖矿页面,团队已道歉:据YFII社群表示,Balancer前端代码曾短时屏蔽YFII的流动性挖矿页面,代码显示将其定义为「ScamPool(欺诈资金池)」。据了解,该情况不影响资金安全,但充提过程会变得十分繁琐。且屏蔽YFII流动性挖矿页面后,意味着新用户的进入将会变得十分困难。不过截止发稿时,Balancer官方已道歉并重新开发页面。
据社群透露,YFII为中国团队开发项目。由DeFi协议yearn.finance分叉而来,其分叉原因是由yearn.finance社区治理YIP-8提出了增发提案,对每个矿池的每周增发量进行减半。但YIP-8提案因最终参与投票数量不足未获得通过,因此对该提案赞成的社区成员发起了硬分叉,并创建了与YFI基本相同的新项目名为YFII。
Balancer前后端开发主管Timur Badretdinov表示是自己的操作失误导致了YFII池子出现被屏蔽问题,目前已重新开放了YFII的流动性挖矿页面,他对此带来的影响表示抱歉。(BlockBeats)[2020/7/29]
值得注意的是,与该项目名字类似的Cream Finance于2021年10月也遭遇过毁灭性的闪电贷攻击,该攻击中Cream Finance被黑客盗取了约1.3亿美元资金。虽然这两起攻击事件并不相关,但这两个相似名字的项目遭遇的两起攻击都显示出了合约安全的重要性:黑客能够以惊人的方式利用闪电贷来进行各种各样的攻击。
现场 | Certik CEO Ronghui Gu:形式验证方法是实现计算机系统安全和隐私的可靠的方法:金色财经现场报道,NEO DevCon 2019开发者大会今日在西雅图举行,Certik CEO Ronghui Gu 做了以“建设可信的区块链生态”主题演讲。Ronghui Gu 表示,区块链目前是十分脆弱的,有许多执行上的漏洞。攻击区块链的受益也是巨大的,据统计截止到2017年已经有6.3亿美元的区块链资产被黑客盗取。智能合约对黑客开源,一旦执行很难去修改, 我们应该去避免区块链编程上的漏洞。程序的测试可以用于展示漏洞存在,但是它不能够去显示漏洞不存在。而形式验证的方法是目前唯一可靠的方法去实现计算机系统的安全和隐私,形式验证在数学上证明代码满足规范。[2019/2/17]
攻击步骤
①攻击者准备了一个假的tick账户,方便在调用“Claim”函数时使用。
②攻击者利用闪电贷借出了所需的token,并被用于与Crema Finance交互时的存款。
③攻击者调用“DepositFixTokenType”函数,通过该函数将通过闪电贷借来的金额存入相应的pool。
④攻击者通过调用“Claim”函数,获得额外代币。
⑤最后,攻击者调用“WithdrawAllTokenTypes”函数,将最初存入的代币取回。
资产去向
截稿时,CertiK安全团队预估损失总计约为878万美元。
大约7万SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY账户中,而分批被盗的资产已被转移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。这些资金被桥接到ETH主网,并被发送到0x8021b2962db803b73aa874030b0b42c202e8458f。
写在最后
根据现有的攻击流程和Crema Finance公布的信息来看,本次攻击的起因为项目方代码缺少对于tick account的验证。作为存储价格信息的重要数据账户,源代码可能并没有做数据来源、所有者验证, 或者这些验证可以被轻松跳过。
类似的账户检查缺失屡见不鲜,可以说账户如何安全使用是Solana程序的重中之重。类似的例子包括但不限于账户所有者验证的缺失、不同用户的数据账户混用等等。
CertiK安全专家在此建议:在程序编写时需注意账户的使用和其之间的联系。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。