北京時間2022年7月3日,CertiK安全團隊監測到Solana鏈上的CremaFinance項目遭到黑客攻擊,損失約880萬美元。
CremaFinance是一個建立在Solana上強大的流動性協議,為交易者和流動性提供者提供各項功能。在發現黑客攻擊后,該項目方暫時終止了項目運行,以防止攻擊者從平臺上盜取更多資金。
CertiK安全團隊進行了初步調查,認為在這次黑客攻擊中,攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶,通過存入和提取借來的代幣,并調用了如下三個函數來實現攻擊:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim"函數時,黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。
DINA金角獸已通過CertiK審計 39小時漲幅5857%:據官方消息,DINA金角獸已通過CertiK審計,CertiK官網搜索“DINA”即可查詢。
據了解,DINA獨創根據流動池健康實行梯度手續費燃燒,集合DeFi+MeMe+FOMO玩法,于6月5日13:14分(UTC國際標準時間)上線流動性池,開盤價0.000004$,當前價0.00023428$,漲幅5857%,市值1099萬美金。
截止至發稿時,真實持倉地址3340人,流動池余額147.5萬USDT,FOMO獎金池余額12.43萬USDT。總供應量1000億枚,截止至發稿時已銷毀代幣數量531億枚,剩余流通量469億枚。Bscscan瀏覽器搜索“DINA”即可查詢。[2021/6/7 23:17:58]
CremaFinance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客,并保留80萬美元”。
安全公司CertiK:名為Ghostmixer的項目存在高風險:4月8日消息,安全公司CertiK表示,名為Ghostmixer的項目存在高風險,該項目通過可疑金庫的存款不定期鑄造代幣。CertiK提醒不要與該項目的任何智能合約交互。[2021/4/8 19:57:59]
值得注意的是,與該項目名字類似的CreamFinance于2021年10月也遭遇過毀滅性的閃電貸攻擊,該攻擊中CreamFinance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關,但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性:黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。
Bitfinex新投票系統允許為EOS Block Producers投票:據Coin Pedia消息,Bitfinex的新投票系統Bitfinex Ballot將允許EOS持有者在交易平臺上直接為EOS Block Producers投票。文章評論稱,這對于投票困難的EOS持有者和Block Producers來說無疑是一件好事,此外Bitfinex作為EOS Block Producers的主要候選對象,排名第12,如果保持這樣的投票速度,將確定其成為EOS BP。[2018/6/19]
攻擊步驟
①攻擊者準備了一個假的tick賬戶,方便在調用“Claim”函數時使用。
②攻擊者利用閃電貸借出了所需的token,并被用于與CremaFinance交互時的存款。
③攻擊者調用“DepositFixTokenType”函數,通過該函數將通過閃電貸借來的金額存入相應的pool。
④攻擊者通過調用“Claim”函數,獲得額外代幣。
⑤最后,攻擊者調用“WithdrawAllTokenTypes”函數,將最初存入的代幣取回。
資產去向
截稿時,CertiK安全團隊預估損失總計約為878萬美元。
大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中,而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網,并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。
寫在最后
根據現有的攻擊流程和CremaFinance公布的信息來看,本次攻擊的起因為項目方代碼缺少對于tickaccount的驗證。作為存儲價格信息的重要數據賬戶,源代碼可能并沒有做數據來源、所有者驗證,或者這些驗證可以被輕松跳過。
類似的賬戶檢查缺失屢見不鮮,可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。
CertiK安全專家在此建議:在程序編寫時需注意賬戶的使用和其之間的聯系。
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。
最近,手機推送里總能看到XXX企業或機構宣布發售數字藏品的消息,主題多種多樣,價格高低不一,種類更是從頭像類到文物類不斷有新花樣,大家不禁驚奇數字藏品還能這么“玩”.
1900/1/1 0:00:00美國著名科幻大師尼爾·斯蒂芬森在其小說《雪崩》中寫道:“戴上耳機和目鏡,找到連接終端,就能夠以虛擬分身的方式進入由計算機模擬、與真實世界平行的虛擬空間。”這是人們第一次聽到關于元宇宙的概念.
1900/1/1 0:00:00作者|DorAemon 去年7月,三言曾寫過那些高調Allin比特幣的公司,那么,如今一年過去,這些公司怎么樣了呢?7月3日,美圖發布公告稱,今年上半年.
1900/1/1 0:00:00元宇宙、NFT熱潮涌起,Web3.0的建設與發展備受矚目。近兩年,隨著Web3概念被廣泛傳播,大量應用涌現.
1900/1/1 0:00:00a16z聯合創始人MarcAndreessen認為,人工智能、生物技術、加密貨幣和Web3是非常有前途的科技領域.
1900/1/1 0:00:002020年7月7日,Aave社區發布征求意見提案,提議引入以太坊上與美元掛鉤的超額抵押穩定幣GHO.
1900/1/1 0:00:00