CertiK: Crema Finance가 공격을 받아 880만 달러 손실
2022년 7월 3일(베이징 시간), CertiK 보안 팀은 Solana 체인의 Crema Finance 프로젝트가 해킹되어 약 880만 달러의 손실을 입었다는 사실을 감지했습니다.
2022년 7월 3일(베이징 시간), CertiK 보안 팀은 Solana 체인의 Crema Finance 프로젝트가 해킹되어 약 880만 달러의 손실을 입었다는 사실을 감지했습니다.
Crema Finance는 Solana에 구축된 강력한 유동성 프로토콜로 거래자와 유동성 공급자에게 다양한 기능을 제공합니다. 해킹을 발견한 후 프로젝트는 공격자가 플랫폼에서 더 많은 자금을 훔치는 것을 방지하기 위해 일시적으로 작업을 중단했습니다."CertiK 보안 팀은 예비 조사를 실시했으며 이번 해킹에서 공격자가 Solend 프로토콜에서 6개의 서로 다른 플래시 론을 사용하여 계약을 악용했다고 생각합니다. 공격자는 틱 계정을 위조하고 빌린 토큰을 예치 및 인출하고 공격을 달성하기 위해 "DepositFixedTokenType", "Claim" 및 "WithdrawAllTokenTypes"의 세 가지 함수를 호출합니다. "클레임
기능이 활성화되면 해커는 이전에 위조한 틱 계정을 사용하여 추가 토큰을 얻을 수 있습니다.
첫 번째 레벨 제목
공격 단계
공격 단계
①공격자는 "Claim" 기능을 호출할 때 사용하기 편리한 가짜 틱 계정을 준비합니다.
②공격자는 플래시론을 이용하여 필요한 토큰을 차입하여 Crema Finance와 상호작용 시 예치금으로 사용하였다.
③공격자는 "DepositFixTokenType" 함수를 호출하여 플래시론을 통해 빌린 금액을 해당 풀에 예치한다.
첫 번째 레벨 제목
자산 소재지
자산 소재지
첫 번째 레벨 제목
마지막에 쓰기
마지막에 쓰기
기존 공격 프로세스와 Crema Finance에서 공개한 정보에 따르면 공격은 프로젝트 당사자의 코드에서 틱 계정의 확인이 부족하여 발생했습니다. 가격 정보를 저장하는 중요한 데이터 계정으로 소스 코드에는 데이터 소스 및 소유자 확인이 없거나 이러한 확인을 쉽게 건너뛸 수 있습니다.
이와 유사한 계정 확인 미수행은 드문 일이 아니며 계정을 안전하게 사용하는 방법이 솔라나 프로그램의 최우선 과제라고 할 수 있습니다. 유사한 예에는 계정 소유자 확인 부족, 다른 사용자의 데이터 계정 혼합 등이 포함되지만 이에 국한되지 않습니다.
CertiK 보안 전문가는 다음을 제안합니다. 프로그래밍 시 계정 사용 및 계정 간의 연결에 주의를 기울이십시오.
