7月3日,Solana链上的集中流动性DeFi应用CremaFinance因遭黑客攻击而宣布停运,该协议官方推特引用链上浏览器SolanaFM信息称,损失的加密资产价值为878.2万美元。
今日凌晨,CremaFinance披露被攻击的线程时称,黑客通过创建虚假的价格变动数据账户绕过合约检查,然后利用虚假的价格数据和闪电贷窃取了资金池中的巨额费用。
数据服务方SolanaFM在披露被盗资金流向时表示,黑客从Solana链上最大的借贷平台Solend中发起了多笔闪电贷,被盗资金中有649.7万美元已通过跨链桥Wormhole转移至以太坊网络。目前,黑客地址已在Solana和以太坊链上被列为黑名单。
今年以来,Solana链上已经发生多起安全事件,包括损失3.2亿美元的Wormhole安全事件及稳定币协议Cashio因安全漏洞的崩溃等。有用户在CremaFinance安全事件发生后表示正在从Solana链上撤出资金。
Cardano创始人:ETC官方新账户@eth_classic被Twitter冻结:10月22日消息,Cardano创始人Charles Hoskinson发布消息称,ETC官方新注册的账户@eth_classic被Twitter官方冻结,目前尚不清楚具体原因。
本月初,Charles Hoskinson曾将拥有67.2万粉丝的ETC原官方推特账号分配给了Ergo团队,并改名为Ergo(@Ergo_Platform),Ethereum Classic则注册了新账号@eth_classic,并发推文控诉了Hoskinson的行为,称“Ergo带走了6年多来建立的所有ETC历史和关注者”。[2022/10/22 16:35:27]
CremaFinance损失超870万美元
FTX创始人SBF曾计划出资80-150亿美元和马斯克一起收购Twitter:金色财经报道,根据埃隆马斯克针对社交媒体平台的法律诉讼中披露的文本,加密货币亿万富翁、FTX创始人SBF “有一段时间”想收购 Twitter。据悉,作为SBF旗下FTX Future Fund法律顾问的William MacAskill试图在今年 3 月份安排两位亿万富翁会面,看看两人是否可以“共同努力”收购 Twitter,双方的交流短信也曝光。根据William MacAskill的说法,SBF一开始愿意出资80-150亿美元,,但摩根士丹利全球技术投资银行业务负责人 Michael Grimes 后来告诉马斯克SBF只愿意出资50亿美元,但最终马斯克似乎对SBF的做法不太感兴趣,并称自己不想与SBF进行一场“艰苦的区块链辩论”,SBF的名字也没有出现在之后的投资方列表里。(businessinsider)[2022/9/30 22:41:42]
CremaFinance官网显示,它是构建在Solana链上的集中流动性协议,该应用程序允许用户以低滑点兑换Solana标准下的加密资产,迄今已经处理了超过13亿美元的交易量,拥有超过38000名用户。
Twitter上线波场emoji24小时后,TRX的活跃度增加了4倍:据brand24.com最新消息显示,Twitter上线波场emoji24小时后,TRX的活跃度增加了4倍。据悉,目前已可在推特官方使用关于TRON与TRX的emoji表情,在推特上输入#TRON、#TRX、#TRONAnniversary、 #TRONGrandVoyage、#TRONConference这五个话题时,即可在话题旁自动显示相对应的波场TRON与TRX emoji表情。波场TRON是全球第一批拥有这个emoji功能的区块链。现在在推特上使用TRON与TRX emoji表情还可参与官方有奖活动,详情请查看孙宇晨推特或波场官方推特。[2020/7/4]
7月4日,根据CremaFinance在官方推特上更新的信息显示,攻击发生在7月2日,黑客通过创建虚假的价格变动数据账户、结合闪电贷攻击窃取了存储在该应用内的加密资产。
Cream Finance下周将减少Cream奖励:Cream Finance今日发推文宣布了其v8 Beta流动性挖矿计划。此外,还宣布将在下周减少Cream奖励。其当前总锁仓量(TVL)约为4.52亿美元。[2020/9/29]
据CremaFinance披露,黑客首先创建了一个虚假的「Tickaccount」账户。这种账户在CremaFinance用于存储价格变动数据。创建假账户后,黑客通过将资金池的初始化Tick地址写入假账户,绕过了平台对Tick账户的例行检查;之后,黑客部署了一个合约,并用该合约从Solend完成闪电贷,为CremaFinance的资金池增加流动性;在CremaFinance平台中,交易费用的计算主要依赖于Tickaccount中的数据,「结果,真实的交易费用数据被伪造的数据替换,黑客通过从池中索取巨额费用来完成窃取。」
Morgan Creek联合创始人:比特币是未来保存财富的最佳资产:金色财经报道,Morgan Creek联合创始人Anthony Pompiano在接受采访时解释了为什么比特币是未来保存财富的最佳资产。Pompliano重申了他对比特币的看涨看法,并透露他在最近的市场崩盘后立即购买了更多比特币,当时大多数投资者都寻求美元避难。Pompian指出,金钱是一种信念系统,直到现在,市场都认为比特币比其他任何事物都更有价值。Pompliano认为,比特币减半不会对价格产生影响,因为在比特币持有者中,人们对该事件的含义及其对比特币价值的影响没有100%的共识。[2020/4/10]
简而言之即,黑客利用CremaFinance的「Tickaccount」漏洞,以闪电贷的方式操作了该协议的资金池价格,并从中获利。
Solana链上的浏览器数据提供方SolanaFM追踪了黑客的资金流向,该机构披露称,黑客从Solend平台进行了至少6笔闪电贷,有74010SOL被发现从原始钱包转移到另一个替代钱包中,然后通过Wormhole协议分5批转移到了以太坊钱包中。
CremaFinance最新信息显示,黑客已经将被盗资金兑换成69422.9SOL和6497738USDCet,其中USDCet通过跨链桥Wormhole转移至以太坊,并通过Uniswap兑换为6064ETH。结合实时价格,CremaFinance此次被窃取的加密资产价值超过878万美元。
据悉,CremaFinance团队已经通过链上消息联系了未知攻击者,如果黑客同意在72小时内归还被盗资产,该团队将给付80万美元。该团队表示,如果黑客不遵守规定,他们将联系「和法律力量」追捕黑客。
目前,黑客地址已在Solana和以太坊链上被追踪并列入黑名单。截至发稿前,黑客地址尚未出现异动,CremaFinance也仍未恢复运营。
Solana链上应用渐成黑客「提款机」
今年,与以太坊竞争DeFi市场的Solana链上生态频繁遭遇黑客光顾。
3月下旬,Solana链上的协议稳定币协议Cashio因安全漏洞导致其产生的稳定币CASH彻底崩溃。在此事件中,黑客利用了该协议的一个漏洞,使他们能够在没有足够头寸的情况下铸造无限供应的CASH。由于该事件,本应与美元挂钩的CASH失去了价值。
根据DefiLlama的数据,此次事件中,黑客从Solana链上的去中心化交易所中消耗了价值近2800万美元的流动资金,DEXSabre因此停止了CASH流动性池。
Cashio官方没有披露此次攻击造成的损失,但有安全专家根据对链上数据估算,这个稳定币协议遭受的损失达约5000万美元。
Solana链上最臭名昭著安全事件发生在今年2月,当时,连接以太坊和Solana链的跨链桥Wormhole因黑客攻击损失了超过3.2亿美元的加密资产,成为迄今为止对Solana链生态的最大攻击。
当时,攻击者通过Wormhole中的漏洞,在Solana链上铸造了12万枚封装的ETH,随后使用Wormhole将8万封装ETH换成以太坊区块链上的合法ETH,同时将另外4万封装ETH兑换成Solana链上的其他资产。
此次安全事件也让业内开始关注跨链桥的安全问题。以太坊联合创始人VitalikButerin曾在Reddit上警告跨链桥的风险,他认为,在以太坊上持有ETH的原生资产,总是比在Solana上持有ETH原生资产更安全。
有分析认为,Solana链上DeFi应用被频繁攻击,与一些应用程序不开源有关,这样就失去了白帽子们为它们发现漏洞的机会;此外,一些应用程序不谨慎地Copy以太坊链上同类应用的代码也可能导致漏洞产生。
对于DeFi运营团队来说,如何防御黑客攻击?
DeFi安全和分析公司HashEx的创始人DmitryMishunin在最近的撰文中提示,要构建安全的DeFi协议,首先要有经验丰富的区块链开发人员,他们应该有一个专业的团队领导,具有构建去中心化应用程序的技能,同时,使用安全代码库进行开发也是明智之举,「有时,与具有最新代码库的库相比,不怎么最新的库可能是最安全的选择。」
「测试是所有严肃的DeFi项目必须做的另一件事。」Mishunin说,他总是强调去中心化地保护那些用于调用受限访问智能合约功能的私钥的重要性,「最好通过多重签名使公钥去中心化,防止一个实体完全控制合同。」
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。