CertiK: Crema Finance ถูกโจมตีและสูญเสีย 8.8 ล้านเหรียญ

CertiK

特邀专栏作者

2022-07-04 10:02

บทความนี้มีประมาณ 1297 คำ การอ่านทั้งหมดใช้เวลาประมาณ 2 นาที

เมื่อวันที่ 3 กรกฎาคม 2022 ตามเวลาปักกิ่ง ทีมรักษาความปลอดภัยของ CertiK ตรวจพบว่าโครงการ Crema Finance บนเ

สรุปโดย AI

ขยาย

เมื่อวันที่ 3 กรกฎาคม 2022 ตามเวลาปักกิ่ง ทีมรักษาความปลอดภัยของ CertiK ตรวจพบว่าโครงการ Crema Finance บนเครือข่าย Solana ถูกแฮ็ก ทำให้สูญเสียเงินไปประมาณ 8.8 ล้านเหรียญสหรัฐ

Crema Finance เป็นโปรโตคอลสภาพคล่องที่มีประสิทธิภาพซึ่งสร้างขึ้นบน Solana โดยมีฟังก์ชันที่หลากหลายสำหรับผู้ค้าและผู้ให้บริการสภาพคล่อง หลังจากค้นพบการแฮ็ก โปรเจกต์หยุดการดำเนินการชั่วคราวเพื่อป้องกันไม่ให้ผู้โจมตีขโมยเงินจากแพลตฟอร์มไปมากกว่านี้"ทีมรักษาความปลอดภัยของ CertiK ได้ทำการสอบสวนเบื้องต้นและเชื่อว่าในการแฮ็กนี้ ผู้โจมตีใช้ประโยชน์จากสัญญาโดยใช้เงินกู้แฟลชที่แตกต่างกัน 6 รายการในโปรโตคอล Solend ผู้โจมตีปลอมแปลงบัญชี tick ฝากและถอนโทเค็นที่ยืมมา และเรียกใช้ฟังก์ชันสามอย่างต่อไปนี้เพื่อให้บรรลุการโจมตี: "DepositFixedTokenType", "Claim" และ "WithdrawAllTokenTypes" เมื่อโทรไปที่ "เคลม

เมื่อเปิดใช้งานฟังก์ชัน แฮ็กเกอร์สามารถรับโทเค็นเพิ่มเติมได้โดยใช้บัญชีติ๊กปลอมก่อนหน้านี้

ชื่อระดับแรก

ขั้นตอนการโจมตี

①ผู้โจมตีเตรียมบัญชีติ๊กปลอมซึ่งสะดวกในการใช้งานเมื่อเรียกใช้ฟังก์ชัน "อ้างสิทธิ์"

②ผู้โจมตียืมโทเค็นที่จำเป็นโดยใช้เงินกู้แฟลชและใช้เป็นเงินฝากเมื่อโต้ตอบกับ Crema Finance

③ผู้โจมตีเรียกใช้ฟังก์ชัน "DepositFixTokenType" ซึ่งจำนวนเงินที่ยืมผ่าน flash loan จะถูกฝากลงในกลุ่มที่เกี่ยวข้อง

ชื่อระดับแรก

ที่อยู่ของสินทรัพย์

ชื่อระดับแรก

เขียนในตอนท้าย

ตามกระบวนการโจมตีที่มีอยู่และข้อมูลที่เผยแพร่โดย Crema Finance การโจมตีเกิดจากการขาดการตรวจสอบบัญชีติ๊กในรหัสของกลุ่มโครงการ ในฐานะที่เป็นบัญชีข้อมูลที่สำคัญในการจัดเก็บข้อมูลราคา ซอร์สโค้ดอาจไม่มีการยืนยันแหล่งข้อมูลและเจ้าของ หรือสามารถข้ามการตรวจสอบเหล่านี้ได้ง่ายๆ

การขาดการตรวจสอบบัญชีที่คล้ายกันไม่ใช่เรื่องแปลก กล่าวได้ว่า วิธีการใช้บัญชีอย่างปลอดภัยเป็นสิ่งสำคัญสูงสุดของโปรแกรม Solana ตัวอย่างที่คล้ายกันรวมถึงแต่ไม่จำกัดเพียง การขาดการยืนยันเจ้าของบัญชี การผสมบัญชีข้อมูลของผู้ใช้ที่แตกต่างกัน และอื่นๆ

ผู้เชี่ยวชาญด้านความปลอดภัยของ CertiK ขอแนะนำ: ให้ความสนใจกับการใช้บัญชีและการเชื่อมต่อระหว่างกันเมื่อตั้งโปรแกรม

ความปลอดภัย

ยินดีต้อนรับเข้าร่วมชุมชนทางการของ Odaily