CertiK：Crema Finance被攻擊損失880萬美元事件分析_CER

北京時間2022年7月3日，CertiK安全團隊監測到Solana鏈上的Crema Finance項目遭到黑客攻擊，損失約880萬美元。

Crema Finance是一個建立在Solana上強大的流動性協議，為交易者和流動性提供者提供各項功能。在發現黑客攻擊后，該項目方暫時終止了項目運行，以防止攻擊者從平臺上盜取更多資金。

CertiK安全團隊進行了初步調查，認為在這次黑客攻擊中，攻擊者通過使用Solend協議中的6個不同閃電貸來利用合約。攻擊者偽造tick賬戶, 通過存入和提取借來的代幣，并調用了如下三個函數來實現攻擊：“DepositFixedTokenType”，“Claim”以及“WithdrawAllTokenTypes”。當調用”Claim "函數時，黑客利用先前偽造的tick賬戶能夠獲得額外的代幣。

Balancer已部署至Base網絡:金色財經報道，基于以太坊網絡的自動做市商（AMM）協議Balancer宣布已部署至Base網絡。該團隊表示，為了加速Base的增長，Balancer在DeFi方面有一些優勢，包括：優化的LST基礎設施 ；資本效率提升池；下一代8020代幣經濟；Boosted Pools 創新池等等。[2023/8/10 16:16:16]

Crema Finance隨后聯系了攻擊者并稱“黑客有72小時的時間考慮成為白帽黑客，并保留80萬美元”。

值得注意的是，與該項目名字類似的Cream Finance于2021年10月也遭遇過毀滅性的閃電貸攻擊，該攻擊中Cream Finance被黑客盜取了約1.3億美元資金。雖然這兩起攻擊事件并不相關，但這兩個相似名字的項目遭遇的兩起攻擊都顯示出了合約安全的重要性：黑客能夠以驚人的方式利用閃電貸來進行各種各樣的攻擊。

Cerebras Systems與阿聯酋G42公司達成1億美元的AI超級計算機協議:金色財經報道，Cerebras Systems宣布與總部位于阿拉伯聯合酋長國(UAE)的技術集團G42簽署了一項價值約1億美元的協議。該公司在7月20日的一份聲明中表示，該協議要求提供第一臺人工智能(AI)超級計算機，并有可能再交付多達9臺。

總部位于硅谷的Cerebras公司表示，G42已承諾收購其“禿鷹銀河”系統中的3臺，這是一個由9臺相互連接的超級計算機組成的創新網絡。這個網絡中的第一臺超級計算機，被稱為禿鷹銀河1號(CG-1)，展示了4 exaFLOPs的性能，包含5400萬個核。

這些系統將在美國制造，以加快部署。該公司表示，第一個系統計劃于今年投入使用，而其余兩個系統CG-2和CG-3預計將于2024年初上線。[2023/7/21 15:51:14]

攻擊步驟

Cerealia SA推出全球農產品區塊鏈融資和貿易平臺:經過兩年的試點測試，瑞士開發商Cerealia SA推出了基于針對全球農產品的區塊鏈融資和貿易平臺。在此之前，該公司已與來自阿爾及利亞、巴西、迪拜、日本和烏克蘭的公司進行了大規模的前期試點。此前該平臺在俄羅斯港口城市諾沃羅西斯克進行了黑海小麥交易試點。Cerealia表示，該公司正在尋求解決俄羅斯全球小麥市場對快速交易平臺的需求，并將其與更可靠、透明和技術先進的執行程序相結合。（Cointelegraph）[2020/11/10 12:13:43]

①攻擊者準備了一個假的tick賬戶，方便在調用“Claim”函數時使用。

②攻擊者利用閃電貸借出了所需的token，并被用于與Crema Finance交互時的存款。

③攻擊者調用“DepositFixTokenType”函數，通過該函數將通過閃電貸借來的金額存入相應的pool。

④攻擊者通過調用“Claim”函數，獲得額外代幣。

⑤最后，攻擊者調用“WithdrawAllTokenTypes”函數，將最初存入的代幣取回。

資產去向

截稿時，CertiK安全團隊預估損失總計約為878萬美元。

大約7萬SOL在Esmx2QjmDZMjJ15yBJ2nhqisjEt7Gqro4jSkofdoVsvY賬戶中，而分批被盜的資產已被轉移到5pkD6y7qyupa2B1CiYoapBZootfhA6aRWqhqi4HYeQ9s。這些資金被橋接到ETH主網，并被發送到0x8021b2962db803b73aa874030b0b42c202e8458f。

寫在最后

根據現有的攻擊流程和Crema Finance公布的信息來看，本次攻擊的起因為項目方代碼缺少對于tick account的驗證。作為存儲價格信息的重要數據賬戶，源代碼可能并沒有做數據來源、所有者驗證， 或者這些驗證可以被輕松跳過。

類似的賬戶檢查缺失屢見不鮮，可以說賬戶如何安全使用是Solana程序的重中之重。類似的例子包括但不限于賬戶所有者驗證的缺失、不同用戶的數據賬戶混用等等。

CertiK安全專家在此建議：在程序編寫時需注意賬戶的使用和其之間的聯系。

攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會在未來持續于官方公眾號發布與項目預警（攻擊、欺詐、跑路等）相關的信息。

Tags：CERNCEANCFINLanceriaCrystl FinanceXion FinanceSirius Finance

DOGE