CER:CertiK：Crema Finance被攻擊損失880萬美元事件分析_lbank交易所app下載后怎么打不開

北京時間2022年7月3日，CertiK安全團隊監測到Solana鏈上的CremaFinance項目遭到黑客攻擊，損失約880萬美元。

CremaFinance是一個建立在Solana上強大的流動性協議，為交易者和流動性提供者提供各項功能。在發現黑客攻擊后，該項目方暫時終止了項目運行，以防止攻擊者從平臺上盜取更多資金。

CertiK安全團隊進行了初步調查，認為在這次黑客攻擊中，攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶,通過存入和提取借來的代幣，并調用了如下三個函數來實現攻擊：“DepositFixedTokenType”，“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim"函數時，黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。

Larry Cermak：Customers Bank等銀行仍為加密行業提供服務:3月13日消息，The Block研究總監Larry Cermak發推稱，為加密貨幣業務提供銀行服務的三家美國銀行被淘汰。不過，Customers Bank、First Foundation Bank、Cross River Bank、Sutton Bank、Evolve Bank & Trust、BankProv、Quontic Bank等銀行仍然提供加密貨幣銀行服務。Larry Cermak表示，自己沒有提到像摩根大通、 紐約梅隆銀行這樣的大銀行，是因為大多數小企業都無法使用這些銀行。[2023/3/13 13:00:38]

CremaFinance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客，并保留80萬美元”。

Larry Cermak：有傳言稱Jump、Alameda等公司又提供了20億美元來拯救 UST:金色財經報道，The Block研究總監Larry Cermak發布推特稱，有傳言說Jump、Alameda等公司又提供了20億美元來拯救 UST。無論這個傳言是真是假，他們的傳播都是非常有意義的。這里最大的問題是，即使他們能通過某種奇跡把它弄到1美元，信任也是不可逆轉的了。我個人認為現在拯救它的唯一方法是完全（或可能非常接近完全）抵押。否則我看不到它再次被使用。[2022/5/10 3:02:58]

值得注意的是，與該項目名字類似的CreamFinance于2021年10月也遭遇過毀滅性的閃電貸攻擊，該攻擊中CreamFinance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關，但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性：黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。

動態 | EOS42發起提案：升級regproducer李嘉圖合約 提升EOS主網穩定性:據IMEOS消息，EOS42發起公投提案，提交新版本 regproducer (出塊節點注冊)李嘉圖合約供EOS社區反饋和投票。regproducer 是注冊成為出塊節點時候所做的操作，而相應的李嘉圖合約用于規范出塊節點的行為和表現。此提案發起目的是希望幫助EOS社區就出塊節點追責制的基本流程與規范達成一致。在介紹提案的文章中， EOS42提到：“通過regproducer合約中約定的標準來實現出塊節點問責制，其最終目標是為了確保基礎設施的性能能夠具備穩定性，能夠為 dApps 提供可靠的支持，并且為EOS區塊鏈提供保護。”EOS社區可以通過參與全民公投方式積極參與regproducer的新合約條款投票，同時，會發起多簽名提案(MSIG)，其更改內容與全民公投的提案相同。多簽提案將比公投的持續時間延長兩周。[2019/5/30]

攻擊步驟

①攻擊者準備了一個假的tick賬戶，方便在調用“Claim”函數時使用。

②攻擊者利用閃電貸借出了所需的token，并被用于與CremaFinance交互時的存款。

③攻擊者調用“DepositFixTokenType”函數，通過該函數將通過閃電貸借來的金額存入相應的pool。

④攻擊者通過調用“Claim”函數，獲得額外代幣。

⑤最后，攻擊者調用“WithdrawAllTokenTypes”函數，將最初存入的代幣取回。

資產去向

截稿時，CertiK安全團隊預估損失總計約為878萬美元。

大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中，而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網，并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。

寫在最后

根據現有的攻擊流程和CremaFinance公布的信息來看，本次攻擊的起因為項目方代碼缺少對于tickaccount的驗證。作為存儲價格信息的重要數據賬戶，源代碼可能并沒有做數據來源、所有者驗證，或者這些驗證可以被輕松跳過。

類似的賬戶檢查缺失屢見不鮮，可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。

CertiK安全專家在此建議：在程序編寫時需注意賬戶的使用和其之間的聯系。

攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags：CEREOSBANKBANCere NetworkDEOSBANKERSlbank交易所app下載后怎么打不開

FIL