CertiK: Crema Finance bị tấn công và mất 8,8 triệu USD

Vào ngày 3 tháng 7 năm 2022, theo giờ Bắc Kinh, nhóm bảo mật CertiK đã phát hiện ra rằng dự án Crema Finance trên chuỗi Solana đã bị tấn công, dẫn đến thiệt hại khoảng 8,8 triệu đô la Mỹ.

Vào ngày 3 tháng 7 năm 2022, theo giờ Bắc Kinh, nhóm bảo mật CertiK đã phát hiện ra rằng dự án Crema Finance trên chuỗi Solana đã bị tấn công, dẫn đến thiệt hại khoảng 8,8 triệu đô la Mỹ.

Crema Finance là một giao thức thanh khoản mạnh mẽ được xây dựng trên Solana, cung cấp nhiều chức năng khác nhau cho các nhà giao dịch và nhà cung cấp thanh khoản. Sau khi phát hiện ra vụ hack, dự án đã tạm thời dừng hoạt động để ngăn chặn những kẻ tấn công đánh cắp thêm tiền từ nền tảng."Nhóm bảo mật CertiK đã tiến hành một cuộc điều tra sơ bộ và tin rằng trong vụ hack này, những kẻ tấn công đã khai thác hợp đồng bằng cách sử dụng 6 khoản vay nhanh khác nhau trong giao thức Solend. Kẻ tấn công giả mạo tài khoản đánh dấu, gửi và rút mã thông báo đã mượn và gọi ba chức năng sau để thực hiện cuộc tấn công: "DepositFixedTokenType", "Claim" và "WithdrawAllTokenTypes". Khi kêu gọi "Đòi

Khi chức năng được kích hoạt, tin tặc có thể lấy thêm mã thông báo bằng cách sử dụng tài khoản đánh dấu đã giả mạo trước đó.

tiêu đề cấp đầu tiên

các bước tấn công

các bước tấn công

①Kẻ tấn công chuẩn bị một tài khoản đánh dấu giả, thuận tiện để sử dụng khi gọi chức năng "Yêu cầu".

②Kẻ tấn công đã mượn mã thông báo cần thiết bằng cách sử dụng khoản vay nhanh và sử dụng nó làm tiền gửi khi tương tác với Crema Finance.

③Kẻ tấn công gọi chức năng "DepositFixTokenType", qua đó số tiền đã vay thông qua khoản vay nhanh được gửi vào nhóm tương ứng.

tiêu đề cấp đầu tiên

Nơi ở của tài sản

Nơi ở của tài sản

tiêu đề cấp đầu tiên

viết ở cuối

viết ở cuối

Theo quy trình tấn công hiện có và thông tin do Crema Finance công bố, cuộc tấn công là do thiếu xác minh tài khoản đánh dấu trong mã của bên dự án. Là một tài khoản dữ liệu quan trọng để lưu trữ thông tin về giá, mã nguồn có thể không có xác minh nguồn dữ liệu và chủ sở hữu hoặc có thể dễ dàng bỏ qua các xác minh này.

Việc thiếu kiểm tra tài khoản tương tự không phải là hiếm, có thể nói làm thế nào để sử dụng tài khoản an toàn là ưu tiên hàng đầu của chương trình Solana. Các ví dụ tương tự bao gồm, nhưng không giới hạn, thiếu xác minh chủ sở hữu tài khoản, trộn tài khoản dữ liệu của những người dùng khác nhau, v.v.

Qua đây các chuyên gia bảo mật của CertiK đề nghị: chú ý đến việc sử dụng các tài khoản và sự liên kết giữa chúng khi lập trình.