Partager cet article

Il protocollo DeFi Solana Crema perde 8,8 milioni di dollari in exploit

Gli sviluppatori di Crema Finanza hanno affermato che si stanno coordinando con le “organizzazioni competenti” per raccogliere maggiori informazioni.

Mise à jour 9 avr. 2024, 11:29 p.m. Publié 4 juil. 2022, 8:23 a.m. Traduit par IA

Inverse Finance developers paused borrowing functions for users and said they were investigating the incident. (Shutterstock) — Solana protocol Crema was exploited for $8.8 million. (Shutterstock)

Gli sviluppatori hanno affermato che Crema Finanza, il protocollo di liquidità basato su Solana, ha subito il furto di criptovalute per un valore di oltre 8,78 milioni di dollari dalla sua piattaforma in un attacco avvenuto nel fine settimana in un tweet.

Crema ha affermato di aver sospeso il suo smart contract dopo l'exploit. Il protocollo consente ai fornitori di liquidità di impostare intervalli di prezzo specifici, aggiungere liquidità unilaterale e condurre trading di ordini di intervallo. Ciò rende la piattaforma di trading sofisticata e decentralizzata.

La Suite Ci-Dessous

Ne manquez pas une autre histoire.Abonnez vous à la newsletter The Protocol aujourd. Voir Toutes les Newsletters

En vous inscrivant, vous recevrez des emails sur les produits CoinDesk et vous acceptez nos conditions d'utilisation et politique de confidentialité.

"Stiamo lavorando a stretto contatto con diversi istituti di sicurezza esperti e organizzazioni competenti per tracciare i movimenti finanziari dell'hacker", hanno affermato gli sviluppatori in un tweet.

Il valore bloccato su Crema è crollato a 3 milioni di dollari lunedì da oltre 12 milioni di dollari di sabato a seguito dell'exploit,i dati mostranoCrema ha registrato volumi di scambio pari a 1,34 miliardi di dollari dalla sua fondazione a gennaio.

L'aggressore ha iniziato creando un account tick falso. Un account tick è "un account dedicato che memorizza i dati tick dei prezzi in CLMM", hanno affermato gli sviluppatori, riferendosi al protocollo di market making di Crema. Dopodiché, l'aggressore ha sfruttato un comando scrivendo i dati sull'account falso e aggirando le misure di sicurezza.

4) After creating the fake tick account, the hacker circumvented our routined owner check on the tick account by writing the initialized tick address of the pool into the fake account. Txid: https://t.co/X0IneBg9ut
— CremaFinance (@Crema_Finance) July 3, 2022

L'attaccante ha quindi utilizzato un prestito flash per manipolare i prezzi degli asset sui pool di liquidità. Questo, insieme alle false voci di dati, ha permesso all'attaccante di richiedere "un'enorme commissione dal pool".

Prestiti flashconsentire ai trader di ottenere prestiti non garantiti dai creditori basandosi su contratti intelligenti anziché su terze parti.

I fondi rubati sono stati scambiati con 69422,9 Solana (SOL) e 6.497.738 USD Coin (USDC). L' USDC basato su Solana è stato quindi collegato alla rete Ethereum tramite Wormhole e scambiato con 6.064 ether (ETH). Ai prezzi correnti, questi fondi ammontano a oltre 8,5 milioni di dollari.

L'indirizzo Ethereum dell'attaccante, 0x8021b2962dB803b73Aa874030B0B42c202E8458Fcome segnalato dallo strumento di scansione blockchain Etherscan, al momento della stesura dei dati non erano stati spostati i fondi rubati né convertiti in altre monete.

Hack Attack Solana Exploits

Shaurya Malwa

Shaurya è co-responsabile del team token e dati CoinDesk in Asia, con particolare attenzione ai derivati Cripto , DeFi, microstruttura di mercato e analisi del protocollo. Shaurya detiene oltre 1.000 $ in BTC, ETH, SOL, AVAX, SUSHI, CRV, NEAR, YFI, YFII, SHIB, DOGE, USDT, USDC, BNB, MANA, MLN, LINK, XMR, ALGO, VET, CAKE, Aave, COMP, ROOK, TRX, SNX, RUNE, FTM, ZIL, KSM, ENJ, CKB, JOE, GHST, PERP, BTRFLY, OHM, BANANA, ROME, BURGER, SPIRIT e ORCA. Fornisce oltre 1.000 $ ai pool di liquidità su Compound, Curve, Sushiswap, PancakeSwap, BurgerSwap, ORCA, AnySwap, SpiritSwap, Rook Protocol, Yearn Finanza, Synthetix, Harvest, Redacted Cartel, OlympusDAO, Rome, Trader JOE e TUE.