CER:CertiK：Crema Finance被攻击损失880万美元事件分析_TIK

北京时间2022年7月3日，CertiK安全团队监测到Solana链上的CremaFinance项目遭到黑客攻击，损失约880万美元。

CremaFinance是一个建立在Solana上强大的流动性协议，为交易者和流动性提供者提供各项功能。在发现黑客攻击后，该项目方暂时终止了项目运行，以防止攻击者从平台上盗取更多资金。

CertiK安全团队进行了初步调查，认为在这次黑客攻击中，攻击者通过使用Solend协议中的6个不同闪电贷来利用合约。攻击者伪造tick账户,通过存入和提取借来的代币，并调用了如下三个函数来实现攻击：“DepositFixedTokenType”，“Claim”以及“WithdrawAllTokenTypes”。当调用”Claim"函数时，黑客利用先前伪造的tick账户能够获得额外的代币。

CertiK：WealthPass NFT Discord 服务器已被入侵:据CertiK官方推特发布消息，@WealthPass_NFT Discord 服务器已被入侵。在团队确认已重获对服务器的控制之前，请勿点击任何链接，铸造或批准任何交易。详见：https://skynet.certik.com/zh-CN/alerts/security/8b1304c7-a38c-4a1e-9992-83bf54b5651e[2023/8/11 16:19:22]

CremaFinance随后联系了攻击者并称“黑客有72小时的时间考虑成为白帽黑客，并保留80万美元”。

新加坡金管局公布最新国际技术咨询委员会成员，CertiK联创受邀加盟:金色财经报道，新加坡金融管理局（MAS）于近日公布了最新国际技术咨询委员会委员。新加坡金融管理局（MAS）成立于1971年，其职能综合了对于货币、银行、证券、保险诸多金融领域及部门的管理和监管。据悉，该委员会成立于2016年，由世界顶级金融机构的首席创新科学家、金融科技企业领导者、风险资本家以及技术和创新领域的领袖组成，旨在为金融科技的国际发展以及新加坡如何利用新技术来加强金融服务提供建议。

本届新任15位成员均为行业领军人物，除了微软、万事达、摩根大通、亚马逊、伦敦证交所组织机构等高管，Web3.0领域内的安全专家——CertiK联合创始人顾荣辉教授也受邀加盟。这也是继香港成立Web3.0发展专责小组后又一引入Web3.0业内领军人物加入咨询小组的政府行为。[2023/7/3 22:14:25]

值得注意的是，与该项目名字类似的CreamFinance于2021年10月也遭遇过毁灭性的闪电贷攻击，该攻击中CreamFinance被黑客盗取了约1.3亿美元资金。虽然这两起攻击事件并不相关，但这两个相似名字的项目遭遇的两起攻击都显示出了合约安全的重要性：黑客能够以惊人的方式利用闪电贷来进行各种各样的攻击。

动态 | NBA篮球运动员Spencer Dinwiddie对联盟拒绝将其续约合同代币化的决定感到失望:NBA篮球运动员Spencer Dinwiddie在社交平台中对NBA以违反政策为由，拒绝将其续约合同代币化的决定感到失望。他表示联盟官员可能对他的要求存在误解，并补充说他愿意沟通解决这个问题。据此前消息，Dinwiddie希望通过与加密公司Paxos合作将他三年期3450万美元合同的第一年代币化，来筹集1350万美元。Dinwiddie还宣布推出一个名为Dream Fan Shares的区块链新平台，将其作为一种创新的投资工具，让运动员和娱乐界人士能够签署他们的职业融资合同。[2019/9/29]

攻击步骤

①攻击者准备了一个假的tick账户，方便在调用“Claim”函数时使用。

②攻击者利用闪电贷借出了所需的token，并被用于与CremaFinance交互时的存款。

③攻击者调用“DepositFixTokenType”函数，通过该函数将通过闪电贷借来的金额存入相应的pool。

④攻击者通过调用“Claim”函数，获得额外代币。

⑤最后，攻击者调用“WithdrawAllTokenTypes”函数，将最初存入的代币取回。

资产去向

截稿时，CertiK安全团队预估损失总计约为878万美元。

大约7万SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY账户中，而分批被盗的资产已被转移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。这些资金被桥接到ETH主网，并被发送到0x8021b2962db803b73aa874030b0b42c202e8458f。

写在最后

根据现有的攻击流程和CremaFinance公布的信息来看，本次攻击的起因为项目方代码缺少对于tickaccount的验证。作为存储价格信息的重要数据账户，源代码可能并没有做数据来源、所有者验证，或者这些验证可以被轻松跳过。

类似的账户检查缺失屡见不鲜，可以说账户如何安全使用是Solana程序的重中之重。类似的例子包括但不限于账户所有者验证的缺失、不同用户的数据账户混用等等。

CertiK安全专家在此建议：在程序编写时需注意账户的使用和其之间的联系。

攻击发生后，CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时，CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。

标签：CERERTcertikTIKCoinracerEverton Fan Tokencertik币价Artik

AVAX热门资讯