7月3日,Solana链上的集中流动性DeFi应用Crema Finance因遭黑客攻击而宣布停运,该协议官方推特引用链上浏览器SolanaFM信息称,损失的加密资产价值为878.2万美元。
今日凌晨,Crema Finance披露被攻击的线程时称,黑客通过创建虚假的价格变动数据账户(Tickaccount)绕过合约检查,然后利用虚假的价格数据和闪电贷窃取了资金池中的巨额费用。
数据服务方SolanaFM 在披露被盗资金流向时表示,黑客从Solana链上最大的借贷平台Solend中发起了多笔闪电贷,被盗资金中有649.7万美元已通过跨链桥Wormhole转移至以太坊网络。目前,黑客地址已在Solana和以太坊链上被列为黑名单。
今年以来,Solana链上已经发生多起安全事件,包括损失3.2亿美元的Wormhole安全事件及稳定币协议Cashio因安全漏洞的崩溃等。有用户在Crema Finance安全事件发生后表示正在从Solana链上撤出资金。
Crema Finance损失超870万美元
Crema Finance 官网显示,它是构建在Solana链上的集中流动性协议,该应用程序允许用户以低滑点兑换Solana标准下的加密资产,迄今已经处理了超过 13亿美元的交易量,拥有超过38000名用户。
7月4日,根据Crema Finance在官方推特上更新的信息显示,攻击发生在7月2日,黑客通过创建虚假的价格变动数据账户、结合闪电贷攻击窃取了存储在该应用内的加密资产。
据Crema Finance披露,黑客首先创建了一个虚假的「Tick account」账户。这种账户在Crema Finance用于存储价格变动数据。创建假账户后,黑客通过将资金池的初始化Tick地址写入假账户,绕过了平台对Tick账户的例行检查;之后,黑客部署了一个合约,并用该合约从Solend完成闪电贷,为Crema Finance的资金池增加流动性;在Crema Finance平台中,交易费用的计算主要依赖于Tick account中的数据,「结果,真实的交易费用数据被伪造的数据替换,黑客通过从池中索取巨额费用来完成窃取。」
简而言之即,黑客利用Crema Finance的「Tick account」漏洞,以闪电贷的方式操作了该协议的资金池价格,并从中获利。
Solana链上的浏览器数据提供方SolanaFM追踪了黑客的资金流向,该机构披露称,黑客从Solend平台进行了至少6笔闪电贷,有74010 SOL 被发现从原始钱包转移到另一个替代钱包中,然后通过 Wormhole协议分5批转移到了以太坊钱包中。
Crema Finance最新信息显示,黑客已经将被盗资金兑换成69422.9 SOL和6497738 USDCet,其中USDCet通过跨链桥Wormhole转移至以太坊,并通过Uniswap兑换为6064 ETH。结合实时价格,Crema Finance此次被窃取的加密资产价值超过878万美元。
据悉,Crema Finance 团队已经通过链上消息联系了未知攻击者,如果黑客同意在 72 小时内归还被盗资产,该团队将给付80万美元。该团队表示,如果黑客不遵守规定,他们将联系「警方和法律力量」追捕黑客。
目前,黑客地址已在 Solana 和以太坊链上被追踪并列入黑名单。截至发稿前,黑客地址尚未出现异动,Crema Finance也仍未恢复运营。
Solana链上应用渐成黑客「提款机」
今年,与以太坊竞争DeFi市场的Solana链上生态频繁遭遇黑客光顾。
3月下旬,Solana 链上的协议稳定币协议Cashio因安全漏洞导致其产生的稳定币CASH彻底崩溃。在此事件中,黑客利用了该协议的一个漏洞,使他们能够在没有足够头寸的情况下铸造无限供应的CASH。由于该事件,本应与美元挂钩的CASH失去了价值。
根据DefiLlama的数据,此次事件中,黑客从Solana链上的去中心化交易所中消耗了价值近2800万美元的流动资金,DEX Sabre因此停止了CASH 流动性池。
Cashio官方没有披露此次攻击造成的损失,但有安全专家根据对链上数据估算,这个稳定币协议遭受的损失达约5000万美元。
Solana链上最臭名昭著安全事件发生在今年2月,当时,连接以太坊和 Solana 链的跨链桥Wormhole因黑客攻击损失了超过 3.2 亿美元的加密资产,成为迄今为止对Solana链生态的最大攻击。
当时,攻击者通过 Wormhole 中的漏洞,在Solana链上铸造了12万枚封装的ETH,随后使用Wormhole将 8万封装ETH换成以太坊区块链上的合法ETH,同时将另外 4万封装 ETH兑换成Solana链上的其他资产。
7月7日,区块链网络 以太坊 完成了合并(从PoW向PoS机制过渡)的第二次测试,这次的合并「彩...
2 深度揭露 Celsius 暴雷内幕:使用客户资产操纵代币价格,实为庞知名以太坊地址 “0xb1”实际管理者 Jason Stone 今日正式公布真实身份,并详细阐述了自己与 ...
3 银行财眼丨辽阳农商行已由沈阳农商行承接 原行长曾潜逃国外凤凰网财经讯 据辽宁省联社官网7月3日消息,经国家金融管理部门同意,辽阳农商行及辽宁太...
4 银行财眼丨南京银行2022中期业绩快报:上半年净利润101.5亿 同凤凰网财经讯 两市首份2022年中期业绩快报出炉。7月3日晚间,南京银行发布2022年中期业绩快报...
5 南京银行原行长林静然去向明确,出任东南集团副董事长7月1日,南京银行原行长林静然的去向明确。南京东南国资投资集团有限责任公司(下称“东南...
6 逾2000只“破净”产品上岸!下半年银行理财收益将趋稳机构客户对资金的安全性和流动性要求较高,过去理财产品处在刚性兑付时期,机构对理财产...
7 债市下半年或窄幅波动记者 吴林璞 记者注意到,6月最后一周债市出现较快调整,其中10年期国债收益率上行至2.83%上...
8 存款利率“倒挂”背后记者 曹韵仪 近期有银行上调3年期存款利率,导致3年和5年期定期存款利率出现“倒挂”,反映...
9 热搜第一!独生子女的父母老了,如何安度晚年全国人大代表、山东三箭劳务管理有限公司油漆工班组长陈雪萍建议,提供独生子女老年父母...
10 排名又大变!Meta老板跌出全球富豪榜前十后,身2月18日消息,Meta(前Facebook)股价持续多日下挫。周四美股收盘,Meta股价大跌4.08%,报207.71美...
7月7日,区块链网络 以太坊 完成了合并(从PoW向PoS机制过渡)的第二次测试,这次的合并「彩...
2 深度揭露 Celsius 暴雷内幕:使用客户资产操纵代币价格,实为庞知名以太坊地址 “0xb1”实际管理者 Jason Stone 今日正式公布真实身份,并详细阐述了自己与 ...
3 银行财眼丨辽阳农商行已由沈阳农商行承接 原行长曾潜逃国外凤凰网财经讯 据辽宁省联社官网7月3日消息,经国家金融管理部门同意,辽阳农商行及辽宁太...
4 银行财眼丨南京银行2022中期业绩快报:上半年净利润101.5亿 同凤凰网财经讯 两市首份2022年中期业绩快报出炉。7月3日晚间,南京银行发布2022年中期业绩快报...
5 南京银行原行长林静然去向明确,出任东南集团副董事长7月1日,南京银行原行长林静然的去向明确。南京东南国资投资集团有限责任公司(下称“东南...
6 逾2000只“破净”产品上岸!下半年银行理财收益将趋稳机构客户对资金的安全性和流动性要求较高,过去理财产品处在刚性兑付时期,机构对理财产...
7 债市下半年或窄幅波动记者 吴林璞 记者注意到,6月最后一周债市出现较快调整,其中10年期国债收益率上行至2.83%上...
8 存款利率“倒挂”背后记者 曹韵仪 近期有银行上调3年期存款利率,导致3年和5年期定期存款利率出现“倒挂”,反映...
9 热搜第一!独生子女的父母老了,如何安度晚年全国人大代表、山东三箭劳务管理有限公司油漆工班组长陈雪萍建议,提供独生子女老年父母...
10 排名又大变!Meta老板跌出全球富豪榜前十后,身2月18日消息,Meta(前Facebook)股价持续多日下挫。周四美股收盘,Meta股价大跌4.08%,报207.71美...
热点 | 财经 | 科技 | 观点 | 产业 | 专栏 |
备案号:鄂ICP备2022006215号 Copyright © 2002-2022 ryxmt.com.cn 融易新媒体