北京时间2022年7月3日,CertiK安全团队监测到Solana链上的Crema Finance项目遭到黑客攻击,损失约880万美元。
Crema Finance是一个建立在Solana上强大的流动性协议,为交易者和流动性提供者提供各项功能。在发现黑客攻击后,该项目方暂时终止了项目运行,以防止攻击者从平台上盗取更多资金。
CertiK安全团队进行了初步调查,认为在这次黑客攻击中,攻击者通过使用Solend协议中的6个不同闪电贷来利用合约。攻击者伪造tick账户, 通过存入和提取借来的代币,并调用了如下三个函数来实现攻击:“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。当调用”Claim "函数时,黑客利用先前伪造的tick账户能够获得额外的代币。
印度财长西塔拉曼:政府稍后将决定是否禁止加密货币:2月11日消息 ,印度财长西塔拉曼:政府稍后将决定是否禁止加密货币,对交易征税并不能使其合法化。(金十)[2022/2/11 9:45:13]
Crema Finance随后联系了攻击者并称“黑客有72小时的时间考虑成为白帽黑客,并保留80万美元”。
值得注意的是,与该项目名字类似的Cream Finance于2021年10月也遭遇过毁灭性的闪电贷攻击,该攻击中Cream Finance被黑客盗取了约1.3亿美元资金。虽然这两起攻击事件并不相关,但这两个相似名字的项目遭遇的两起攻击都显示出了合约安全的重要性:黑客能够以惊人的方式利用闪电贷来进行各种各样的攻击。
攻击步骤
①攻击者准备了一个假的tick账户,方便在调用“Claim”函数时使用。
②攻击者利用闪电贷借出了所需的token,并被用于与Crema Finance交互时的存款。
③攻击者调用“DepositFixTokenType”函数,通过该函数将通过闪电贷借来的金额存入相应的pool。
④攻击者通过调用“Claim”函数,获得额外代币。
⑤最后,攻击者调用“WithdrawAllTokenTypes”函数,将最初存入的代币取回。
资产去向
截稿时,CertiK安全团队预估损失总计约为878万美元。
大约7万SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY账户中,而分批被盗的资产已被转移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。这些资金被桥接到ETH主网,并被发送到0x8021b2962db803b73aa874030b0b42c202e8458f。
写在最后
根据现有的攻击流程和Crema Finance公布的信息来看,本次攻击的起因为项目方代码缺少对于tick account的验证。作为存储价格信息的重要数据账户,源代码可能并没有做数据来源、所有者验证, 或者这些验证可以被轻松跳过。
类似的账户检查缺失屡见不鲜,可以说账户如何安全使用是Solana程序的重中之重。类似的例子包括但不限于账户所有者验证的缺失、不同用户的数据账户混用等等。
CertiK安全专家在此建议:在程序编写时需注意账户的使用和其之间的联系。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。
标签:ANCCRENANFINS-ONE FinanceLYO CreditYearn Core FinancePrinter.Finance
1.DeFi代币总市值:380.23亿美元DeFi总市值 数据来源:coingecko 2.过去24小时去中心化交易所的交易量:36.35亿美元过去24小时去中心化交易所的交易量 数据来源:coingecko 3.DeFi中锁定资产:757.9亿美元DeFi项目锁定资产前十排名及锁仓量 数据来源:defillama 1.NFT总市值:183。
原文作者:Miles Jennings 权力去中心化的承诺已经被大量讨论和辩论,从它为什么重要到谁将控制互联网软件的更大问题。这些问题很是关键,因为正如我们所见,当控制权掌握在极少数人手中时,对个人自由、选择和隐私的侵犯是与生俱来的。当CEO决定一门课程或另外一门课程时“不作恶”与“不能作恶”有很大的不同。 但是去中心化互联网一直很难做到。
据媒体报道,2022年6月16日,某数字藏品平台发文称,针对将发售的新一期数字藏品采取原价退款保护机制,以保证用户权益不受损失,玩家可在藏品开启赠与后15天内申请退货退款。这在国内尚属首例。 一般认为,基于区块链NFT技术协议的数字藏品是具有一定使用价值的数字产品,其与特定数字内容相联系,具有特定的权益。
BTC依旧未破下方趋势线支撑,昨日分析已经提到过,这一带同时也是顶部1.618回撤线位置,我们看2011、2014和2018年熊底也是回撤至1.618附近见底,后面长时间震荡筑底,然后发动牛市行情,2019年小牛见顶14000回落至最低3800,也是位于这一轮1.618位置附近,目前走势较为相似,不过需要注意下方两线目前还是下滑姿态。
作者|?朱嘉明 人类的一切努力的目的,在于获得幸福。 ——罗伯特·欧文(Robert Owen) 2022 年,Web3.0 受到前所未有的关注和讨论,一波接一波。但是,Web3.0需要深入的思考和实践。在这样的大背景下,杜雨和张孜铭主持撰写的《WEB3.0:赋能数字经济新时代》得以出版,实在是及时和重要的。
前一篇文章中,我们对 Web3 做了基本科普,总结起来就是,Web3 是基于区块链的去中心化生态网络,它的核心特点是用户在使用 Web3 服务和应用的同时,可以拥有和控制自己的资产和数据。 为了让大家能够对 Web3 有一个更清晰和直观的认知,小编搜罗了各大区块链平台和研究机构/媒体总结的 Web3 生态全景图,供大家参考和理解。