Share this article

Solana DeFi Protocol Crema Nawalan ng $8.8M sa Exploit

Sinabi ng mga developer ng Crema Finance na nakikipag-ugnayan sila sa "mga nauugnay na organisasyon" upang mangalap ng higit pang impormasyon.

Na-update Abr 9, 2024, 11:29 p.m. Published Hul 4, 2022, 8:23 a.m. Isinalin ng AI

Ang Solana-based liquidity protocol na Crema Finance ay mayroong higit sa $8.78 milyon na halaga ng mga cryptocurrencies na ninakaw mula sa platform nito sa isang pag-atake noong weekend, sinabi ng mga developer. sa isang tweet.

Sinabi ni Crema na sinuspinde nito ang matalinong kontrata nito pagkatapos ng pagsasamantala. Pinapayagan ng protocol ang mga provider ng liquidity na magtakda ng mga partikular na hanay ng presyo, magdagdag ng single-sided liquidity at magsagawa ng range order trading. Ito ay gumagawa para sa isang sopistikado at desentralisadong platform ng kalakalan.

Ipagpatuloy Ang Kwento Sa Baba

Don't miss another story.Subscribe to the The Protocol Newsletter today. Tingnan ang Lahat ng mga Newsletter

Sa pamamagitan ng pag-sign up, makakatanggap ka ng mga email tungkol sa mga produkto ng CoinDesk at sumasang-ayon ka sa aming terms of use at patakaran sa privacy.

"Kami ay malapit na nakikipagtulungan sa maraming karanasan na mga institusyong pangseguridad at mga nauugnay na organisasyon upang subaybayan ang mga paggalaw ng pondo ng hacker," sabi ng mga developer sa isang tweet.

Ang value na naka-lock sa Crema ay bumagsak sa $3 milyon noong Lunes mula sa mahigit $12 milyon noong Sabado kasunod ng pagsasamantala, nagpapakita ng data. Ang Crema ay nakakita ng mga volume ng kalakalan na $1.34 bilyon mula noong ito ay nagsimula noong Enero.

Nagsimula ang umaatake sa pamamagitan ng paggawa ng pekeng tick account. Ang tick account ay "isang nakalaang account na nag-iimbak ng data ng price tick sa CLMM," sabi ng mga developer, na tumutukoy sa market making protocol ng Crema. Pagkatapos noon, sinamantala ng umaatake ang isang utos sa pamamagitan ng pagsulat ng data sa pekeng account at pag-iwas sa mga hakbang sa seguridad.

4) After creating the fake tick account, the hacker circumvented our routined owner check on the tick account by writing the initialized tick address of the pool into the fake account. Txid: https://t.co/X0IneBg9ut
— CremaFinance (@Crema_Finance) July 3, 2022

Pagkatapos ay gumamit ang attacker ng flash loan para manipulahin ang mga presyo ng mga asset sa mga liquidity pool. Ito, kasama ang mga maling entry ng data, ay nagbigay-daan sa umaatake na mag-claim ng "malaking halaga ng bayad mula sa pool."

Mga flash loan payagan ang mga mangangalakal na humiram ng mga hindi secure na pautang mula sa mga nagpapahiram sa pamamagitan ng pag-asa sa mga matalinong kontrata sa halip na sa mga ikatlong partido.

Ang mga ninakaw na pondo ay ipinagpalit sa 69422.9 Solana (SOL) at 6,497,738 USD Coin (USDC). Ang USDC na nakabase sa Solana ay na-bridge sa Ethereum network sa pamamagitan ng Wormhole at ipinagpalit sa 6,064 ether (ETH). Ang mga pondong ito ay umaabot sa mahigit $8.5 milyon sa kasalukuyang mga presyo.

Ang Ethereum address ng umaatake, 0x8021b2962dB803b73Aa874030B0B42c202E8458F bilang na-flag ng blockchain scanning tool na Etherscan, ay hindi inilipat ang mga ninakaw na pondo o na-convert sa iba pang mga barya sa oras ng pagsulat, ang ipinapakita ng data.

Hack Attack Solana Exploits

Shaurya Malwa

Si Shaurya ay ang Co-Leader ng CoinDesk token at data team sa Asia na may pagtuon sa Crypto derivatives, DeFi, market microstructure, at protocol analysis.

Hawak CAKE Shaurya ang mahigit $1,000 sa BTC, ETH, SOL, AVAX, SUSHI, CRV, NEAR, YFI , YFII, SHIB, DOGE, USDT, USDC, BNB, MANA, MLN, LINK, XMR, ALGO, VET , Aave, COMP SNX, RUNE, FTM, ZIL, KSM, ENJ, CKB, JOE, GHST, PERP, BTRFLY, OHM, BANANA, ROME, BURGER, SPIRIT, at ORCA.

Nagbibigay siya ng mahigit $1,000 sa mga liquidity pool sa Compound, Curve, Sushiswap, PancakeSwap, BurgerSwap, ORCA, AnySwap, SpiritSwap, Rook Protocol, Yearn Finance, Synthetix, Harvest, Redacted Cartel, OlympusDAO, Rome, Trader JOE, at SAT.