7月3日,索拉纳链条上的集中式流动性DeFi应用Crema Finance因黑客攻击宣布停止服务。该协议的官方推特援引在线浏览器SolanaFM的消息称,丢失的加密资产价值878.2万美元。
今天凌晨,克莉玛金融披露了被攻击的线程,称黑客通过创建虚假的价格变化数据账户绕过合同检查,然后利用虚假的价格数据和闪贷从资金池中窃取巨额费用。
数据提供商SolanaFM在披露被盗资金流向时表示,黑客从Solana chain最大的借贷平台Solend发起了数笔闪电贷款,649.7万美元的被盗资金已经通过跨链桥Wormhole转移到以太坊网络。目前,Solana和以太坊连锁店已经将黑客地址列入黑名单。
今年以来,索拉纳链发生了多起安全事件,包括损失3.2亿美元的虫洞安全事件和稳定货币协议Cashio因安全漏洞而崩溃。一些用户表示,在Crema金融安全事件后,他们正在从Solana链中撤回资金。
克莱玛金融公司损失了870多万美元
CreFinance官网显示,它是建立在索拉纳链上的集中流动性协议。这个应用程序允许用户在低滑动点交换Solana标准下的加密资产。到目前为止,它已经处理了超过13亿美元的交易,拥有超过38,000名用户。
7月4日,根据克莉玛财经在官方推特上更新的信息,袭击发生在7月2日。黑客通过创建虚假的价格变化数据账户,结合闪电贷款攻击,窃取了存储在app中的加密资产。
据Crema Finance报道,黑客首先创建了一个假的“Tick account”账户。该帐户在Crema Finance中用于存储价格变化数据。假账户创建后,黑客通过将资金池初始Tick地址写入假账户,绕过Tick账户的例行检查;之后,黑客部署了一份合约,并用它完成了索伦德的闪电贷款,增加了克莱玛金融资金池的流动性;在Crema金融平台中,交易成本的计算主要依赖于Tick账户中的数据。“这样一来,真实的交易成本数据就被虚假的数据所替代,黑客通过向资金池索要巨额费用来窃取。」
简而言之,黑客利用克莉玛金融的“滴答账户”漏洞,闪电贷款操作协议的资金池价格,从中获利。
Solana链上的浏览器数据提供商SolanaFM追踪黑客的资金流向。该机构披露,黑客从Solend平台进行了至少6次闪电贷款,74010 SOL被发现从原来的钱包转移到另一个替换钱包,然后通过虫洞协议分5批转移到以太坊钱包。
来自CreFinance的最新信息显示,黑客已将盗取的资金转换为69422.9 SOL和6497738 USDCet,其中USDCet通过跨链桥虫洞转入以太坊,并通过Uniswap转换为6064 ETH。结合实时价格,Crema Finance这次被盗的加密资产价值超过878万美元。
据悉,克莉玛金融团队已经通过连锁消息联系了不明攻击者。如果黑客同意在72小时内归还被盗资产,该团队将支付80万美元。该团队表示,如果黑客不遵守规定,他们将联系“警察和法律力量”追捕黑客。
目前,该黑客的地址已被追踪,并被列入索拉纳和以太坊连锁店的黑名单。截至记者发稿时,黑客的地址没有变化,克莉玛金融也没有恢复运营。
索拉纳链上的应用逐渐成为黑客的“提款机”
今年,与以太坊在DeFi市场竞争的Solana chain的生态频繁被黑客光顾。
3月下旬,Solana chain的稳定货币协议现金因安全漏洞彻底崩溃。在这起事件中,黑客利用了协议中的一个漏洞,使他们能够在没有足够头寸的情况下无限量供应现金。由于这一事件,本应与美元挂钩的现金失去了价值。
根据DefiLlama的数据,在此次事件中,黑客从Solana链上的去中心化交易所消耗了价值近2800万美元的流动性,因此DEX Sabre停止了现金流动性池。
Cashio官员没有透露这次攻击造成的损失,但一些安全专家根据链上的数据估计,这项稳定货币协议遭受的损失约为5000万美元。
Solana chain上最臭名昭著的安全事件发生在今年2月,连接以太坊和Solana chain的跨链桥Wormhole因黑客攻击损失了超过3.2亿美元的加密资产,成为迄今为止对Solana chain生态的最大攻击。
当时攻击者通过虫洞中的一个漏洞在索拉纳链上施放了12万个封装的ETH,然后利用虫洞在以太坊区块链上用合法的ETH替换了8万个封装的ETH,同时在索拉纳链上用其他资产替换了另外4万个封装的ETH。
这一安全事件也让业界开始关注跨链桥梁的安全问题。以太坊联合创始人Vitalik Buterin在Reddit上警告了跨链桥的风险。他认为在以太坊持有本土资产总是比在索拉纳更安全。
有分析认为,Solana chain的DeFi应用频繁被攻击,与部分应用不开源,从而失去白帽子为其寻找漏洞的机会有关;此外,一些应用程序不小心复制了以太坊链上类似应用程序的代码,也可能导致漏洞。
对于DeFi运营团队来说,如何防御黑客攻击?
DeFi安全和分析公司HashEx的创始人Dmitry Mishunin在最近的一篇文章中建议,要构建一个安全的DeFi协议,首先要有经验丰富的区块链开发人员,他们要有一个专业的团队领导,具备构建去中心化应用的技能。同时,使用安全的代码库进行开发也是明智的。“有时候,与最新代码库相比,最新代码库可能是最安全的选择。」
“测试是所有严肃的DeFi项目必须做的另一件事。米舒宁说,他一直强调分散保护用于调用受限访问智能合约功能的私钥的重要性。最好通过多重签名来分散公钥,以防止一个实体完全控制合同。」
(声明:请读者严格遵守当地法律法规,本文不代表任何投资建议)
你会从索拉纳连锁店撤资吗?
