前言
8月30日,知道创宇区块链安全实验室监测到以太坊上的DeFi协议CreamFinance遭遇重入漏洞袭击,损失超1800万美元。实验室第一时间跟踪本次事件并分析。
涉及对象
攻击涉及合约地址:
0x38c40427efbaae566407e4cde2a91947df0bd22b
0x0ec306d7634314d35139d1df4a630d829475a125
EthHub联合创始人:希望看到更多的非投机性以太坊应用程序在这个熊市中起飞:金色财经报道,天使投资人、EthHub联合创始人sassal.eth在社交媒体上称,我希望看到更多的非投机性以太坊应用程序在这个熊市中起飞。到目前为止,我所能想到的最受欢迎的(有实际活跃用户的)是Gitcoin、POAP和ENS。[2022/7/4 1:50:00]
受害涉及合约地址:
CErc20Delegator:0x2db6c82ce72c8d7d770ba1b5f5ed0b6e075066d6
CEther:0xd06527d5e56a3495252a528c4987003b712860ee
诺贝尔经济学奖得主:从未买过比特币,但也许我应活跃在这个市场:诺贝尔经济学奖得主 Robert Shiller 表示,我从未买过比特币,但也许我应该活跃于那个市场。那是一个非常心理的市场, 这是令人印象深刻的技术。但是,比特币最终的价值来源是如此含糊,以至于其价值更多与叙述有关,而不是现实。我曾考虑购买它们来体验这种效果, 实际上,很多人都这样做。但我从未买过比特币, 也许我应该活跃于那个市场。”(CNBC)[2021/5/25 22:41:25]
Amp:0xff20817765cb7f73d4bde2e66e067e58d11095c2
分析 | 5年走势规律预示BTC本轮大调整目标可能在这里:下图为BTC周线2014-2019年5年的长期历史走势,分析师K神表示,整体结构运行在一个大的上涨通道区间内,我们将2013年大牛市顶点与筑底的2015年高点连线,形态上构筑一个大的周线级别上升三角,同样将17年牛市顶点与19年当前顶点13800美元连线,目前周线同样处于一个上升三角形态区间内,前一次周线RSI在此期间走出一个大圆弧和一个小圆弧形态,这一次大圆弧形态已形成,当前RSI很有可能在走一个小圆弧底,并且价格在上摸下降趋势线至目前,仍处于大三角末端持续盘整。
近期的一波大力下杀,走势并未破位长期趋势线,这与BTC15年末期与16年初的大三角比较相似,前者以弱势震荡方式突破下降趋势线,便再度迎来了周线级别主升浪,而且拉升最高点超过15年的顶点,从触碰到突破历经近3个月时间的盘整。
再看目前,价格依旧处于三角末端收敛,下方MA50周均线支撑区间6800-7000美元之间,强支撑长期趋势线6500美元附近,按照以往周期,后面一段时间BTC将继续处于大区间宽幅震荡,待充分洗盘构筹码充分换手后,在产量减半利好推动下,有望突破下降趋势线,再度迎来周线级别主升浪。
近期价格的再次跳水,主要还是与市场多空比一直高居不下有关,当前市场还是存量博弈的状态,市场多单还是太多了,那么主力资金往往会在现货市场砸盘来赚取更多利润,这与19年上半年市场上空单一直多于多单相似,BTC站上5000美元开始,便迎来了持续拉升爆空行情,造就了今年的小牛行情,预计后面主力将继续通过急砸或者横盘震荡的方式,不断消磨市场的做多信心和资金能量,为主力资金缓慢吸收筹码提供机会,完成市场的筑底过程。[2019/10/25]
简述攻击流程
声音 | 赵长鹏:其他加密项目需要快速追赶BTC的脚步,应该在这个月进行AMA:赵长鹏发推称,仅BTC现在的市值就达到2000亿美元。我记得几天前,整个加密市场的市值大约是1000亿美元。比特币正在发挥它的作用,我们需要紧随其后,各位!每一个仍然活着的加密项目都应该在这个月进行AMA,如果你还没有的话,是的,6月。是时候开始了。[2019/6/25]
首先黑客通过合约0x38c4进行闪电贷借出启动资金500ETH
抵押ETH获得凭证
通过合约0x38c4调用CErc20Delegator合约借出19,480,000AMP
通过重入漏洞继续调用CEther合约借出355ETH
使用合约0x0ec3对合约0x38c4进行超额借贷清算
合约0x38c4转移凭证给合约0x0ec3赎回约187ETH
归还闪电贷
漏洞成因分析
获利条件
borrowFresh函数在发生借贷时是先通过doTransferOut函数转账,再记录最新变化
攻击条件
doTransferOut函数包含的transfer函数会使用_callPostTransferHooks函数会回调调用合约的tokensReceived函数
总结
本次闪电贷安全事件主要是项目方在设计代币时没考虑到协议之间的兼容性引发的重入危机,其实在前段时间已经爆出拥有类似回调功能的ERC777代币存在重入漏洞,如果项目方及时发现跟进,应该能减少甚至避免损失。
知道创宇区块链安全实验室再次提醒近期各链上频频爆发攻击事件,合约安全愈发需要得到迫切重视,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。