7월 3일 솔라나 체인의 중앙 집중식 유동성 디파이 애플리케이션인 크레마 파이낸스가 해커의 공격으로 서비스 중단을 발표했다. 손실된 암호화 자산은 878만2000달러였다.
오늘 아침 일찍 Crema Finance가 공격한 스레드를 공개했을 때 해커가 허위 가격 변동 데이터 계정(Tick 계정 )을 생성하여 계약 확인을 우회한 다음 허위 가격 데이터와 플래시 론을 사용하여 막대한 수수료를 훔쳤다고 밝혔습니다. 자금 풀.
데이터 서비스 제공업체인 솔라나에프엠(SolanaFM)은 도난 자금의 흐름을 공개하면서 해커들이 솔라나 체인 최대 대출 플랫폼인 솔렌드(Solend)에서 다수의 플래시 론을 개시했으며, 도난 자금 중 649만7000달러가 교차로를 통해 이더리움 네트워크로 이체됐다고 밝혔다. 사슬다리 웜홀 . 현재 해커 주소는 솔라나 및 이더리움 체인에서 블랙리스트에 올라 있습니다.
올해 초부터 3억 2천만 달러의 손실을 입은 웜홀 보안 사건, 보안 취약점으로 인한 스테이블 코인 프로토콜 캐시오의 붕괴 등 솔라나 체인에서 다수의 보안 사건이 발생했습니다. 일부 사용자는 Crema Finance 보안 사건 이후 솔라나 체인에서 자금을 인출한다고 말했습니다.
Crema Finance는 870만 달러 이상의 손실을 입었습니다.
Crema Finance의 공식 웹 사이트는 Solana 체인에 구축된 중앙 집중식 유동성 프로토콜임을 보여줍니다.이 응용 프로그램을 통해 사용자는 낮은 미끄러짐으로 Solana 표준에 따라 암호화된 자산을 교환할 수 있습니다.
7월 4일 크레마파이낸스 공식 트위터에 업데이트된 정보에 따르면 해당 공격은 7월 2일 발생했으며, 해커들은 허위 가격변동 데이터 계정을 생성하고 플래시론 공격을 결합해 앱에 저장된 암호화 자산을 탈취했다.
Crema Finance에 따르면 해커는 먼저 가짜 "Tick 계정" 계정을 만들었습니다. 이 계정은 Crema Finance에서 가격 변동 데이터를 저장하는 데 사용됩니다. 가짜 계정을 만든 후 해커는 자금 풀의 초기 Tick 주소를 가짜 계정에 작성하여 플랫폼의 Tick 계정에 대한 일상적인 확인을 우회한 후 계약을 배포하고 계약을 사용하여 플래시 대출을 완료했습니다. Solend for Crema Finance의 자금 풀은 유동성을 증가시킵니다. Crema Finance 플랫폼에서 거래 수수료 계산은 주로 Tick 계정의 데이터에 의존합니다. 수영장에서 수수료를 받습니다. 도둑질을 완료하세요."
요컨대, 해커들은 Crema Finance의 "Tick 계정" 취약점을 이용하여 플래시 론 형태로 계약 자금 풀의 가격을 조작하고 이를 통해 이익을 얻었습니다.
솔라나 체인의 브라우저 데이터 제공업체인 솔라나에프엠(SolanaFM)은 해커의 자금 흐름을 추적한 결과, 해커가 솔렌드 플랫폼에서 최소 6건의 플래시 론을 했고, 74,010 SOL이 원래 지갑에서 다른 대체 지갑으로 이체된 것으로 확인됐다고 밝혔다. .그 후 웜홀 프로토콜을 통해 5회에 걸쳐 이더리움 지갑으로 전송되었습니다.
Crema Finance의 최신 정보에 따르면 해커는 도난당한 자금을 69422.9 SOL과 6497738 USDCet으로 전환했으며 이 중 USDCet은 교차 체인 브리지 Wormhole을 통해 이더리움으로 전송되었고 Uniswap을 통해 6064 ETH로 전환되었습니다. 실시간 가격과 결합하여 Crema Finance의 도난당한 암호화 자산은 878만 달러 이상의 가치가 있습니다.
Crema Finance 팀은 연쇄 메시지를 통해 알려지지 않은 공격자와 연락을 취했으며 해커가 72시간 이내에 도난당한 자산을 반환하는 데 동의할 경우 팀은 $800,000를 지불할 것이라고 합니다. 팀은 해커가 준수하지 않으면 "경찰과 법무부"에 연락하여 해커를 사냥할 것이라고 말했습니다.
현재 해커 주소는 추적되어 솔라나 및 이더리움 체인에서 블랙리스트에 올랐습니다. 보도 시간 현재 해커 주소는 변경되지 않았으며 Crema Finance는 아직 운영을 재개하지 않았습니다.
솔라나 체인의 애플리케이션은 점차 해커의 "현금 지급기"가 되어가고 있습니다.
올해 디파이 시장에서 이더리움과 경쟁하는 솔라나 체인의 생태계는 해커와 자주 마주쳤다.
3월 말, Solana 체인의 프로토콜 스테이블 코인 프로토콜인 Cashio는 보안 침해로 인해 스테이블 코인 CASH를 완전히 붕괴시켰습니다. 이 사건에서 해커는 프로토콜의 취약점을 악용하여 충분한 위치 없이 현금을 무제한으로 발행할 수 있었습니다. 미국 달러에 고정돼 있어야 할 CASH는 이 사건으로 가치를 잃었다.
DefiLlama의 데이터에 따르면, 이 사건에서 해커들은 솔라나 체인의 탈중앙화 거래소에서 거의 2,800만 달러 상당의 유동성을 소비했고, 따라서 DEX Saber는 CASH 유동성 풀을 중단했습니다.
Cashio는 공격으로 인한 손실을 공식적으로 공개하지 않았지만 일부 보안 전문가는 온체인 데이터를 기반으로 stablecoin 프로토콜이 약 5천만 달러의 손실을 입었다고 추정했습니다.
솔라나 체인에서 가장 악명 높은 보안 사고는 올해 2월에 발생했는데, 당시 이더리움과 솔라나 체인을 연결하는 크로스체인 브릿지인 웜홀은 해킹 공격으로 인해 3억 2천만 달러 이상의 암호화된 자산을 손실하며 최대 규모의 공격이 되었습니다. 지금까지의 솔라나 체인 생태계에 대해. .
당시 공격자는 Wormhole의 허점을 통해 솔라나 체인에 캡슐화된 ETH 120,000개를 발행한 후 Wormhole을 이용하여 캡슐화된 ETH 80,000개를 이더리움 블록체인 상의 합법적인 ETH로 교환함과 동시에 또 다른 40,000개의 캡슐화된 ETH를 다른 ETH로 변환하였다. Solana 체인의 자산.
이 보안 사고는 또한 업계에서 교차 체인 브리지의 보안 문제에 주의를 기울이게 했습니다. 이더리움의 공동 설립자 비탈릭 부테린은 레딧에서 교차 체인 브리지의 위험에 대해 경고했으며, 이더리움에 ETH 고유 자산을 보유하는 것이 솔라나에 ETH 고유 자산을 보유하는 것보다 항상 더 안전하다고 믿고 있습니다.
일부 분석가는 솔라나 체인의 DeFi 애플리케이션에 대한 빈번한 공격이 일부 애플리케이션이 오픈 소스가 아니어서 화이트 햇이 해당 애플리케이션의 취약점을 찾을 수 있는 기회를 놓치고 있다는 사실과 관련이 있다고 생각합니다. Ethereum 체인 코드는 또한 취약성을 유발할 수 있습니다.
DeFi 운영팀의 경우 해커 공격을 방어하는 방법은 무엇입니까?
DeFi 보안 및 분석 회사인 HashEx의 설립자인 Dmitry Mishunin은 최근 기사에서 안전한 DeFi 프로토콜을 구축하려면 먼저 경험 많은 블록체인 개발자가 있어야 한다고 제안했습니다. , 개발을 위해 안전한 코드 기반을 사용하는 것도 현명합니다. "때로는 최신 코드 기반의 라이브러리에 비해 그다지 최신이 아닌 라이브러리가 가장 안전한 선택일 수 있습니다."
"테스트는 모든 진지한 DeFi 프로젝트가 해야 하는 또 다른 일입니다." Mishunin은 제한된 액세스 스마트 계약 기능을 호출하는 데 사용되는 개인 키의 분산 보호의 중요성을 항상 강조했습니다. 한 주체가 계약을 완전히 통제하는 것을 막습니다.”
CharlieXYZ
Bitcoinist
链向资讯
Cointelegraph