Crema Finance因黑客攻擊停運，Solana鏈上應用漸成黑客「提款機」？_OLA:CRE

7月3日，Solana鏈上的集中流動性DeFi應用CremaFinance因遭黑客攻擊而宣布停運，該協議官方推特引用鏈上瀏覽器SolanaFM信息稱，損失的加密資產價值為878.2萬美元。今日凌晨，CremaFinance披露被攻擊的線程時稱，黑客通過創建虛假的價格變動數據賬戶繞過合約檢查，然后利用虛假的價格數據和閃電貸竊取了資金池中的巨額費用。數據服務方SolanaFM在披露被盜資金流向時表示，黑客從Solana鏈上最大的借貸平臺Solend中發起了多筆閃電貸，被盜資金中有649.7萬美元已通過跨鏈橋Wormhole轉移至以太坊網絡。目前，黑客地址已在Solana和以太坊鏈上被列為黑名單。今年以來，Solana鏈上已經發生多起安全事件，包括損失3.2億美元的Wormhole安全事件及穩定幣協議Cashio因安全漏洞的崩潰等。有用戶在CremaFinance安全事件發生后表示正在從Solana鏈上撤出資金。CremaFinance損失超870萬美元

Yearn創始人AC在Cream Finance社區發起提案，為CREAM代幣創建生產性資產iceCREAM:官方消息，Yearn創始人Andre Cronje在Cream Finance社區發起提案，建議iceCREAM代幣變為CREAM代幣的一種生產性的資產，iceCREAM可以賺取協議費用。iceCREAM代幣類似CRV代幣有三個主要用例：投票、質押和增長。

iceCREAM運作方式為：將CREAM鎖定1周至4年以換取iceCREAM；iceCREAM不可轉讓和交易；50%的協議儲備將作為ycrvIB代幣分發給iceCREAM質押者；1 iceCREAM等于C.R.E.A.M未來治理中的一票；質押的iceCREAM轉換為投票權，可用于確定CREAM代幣流動性挖礦的分配鏈和市場。[2021/7/15 0:54:42]

CremaFinance官網顯示，它是構建在Solana鏈上的集中流動性協議，該應用程序允許用戶以低滑點兌換Solana標準下的加密資產，迄今已經處理了超過13億美元的交易量，擁有超過38000名用戶。7月4日，根據CremaFinance在官方推特上更新的信息顯示，攻擊發生在7月2日，黑客通過創建虛假的價格變動數據賬戶、結合閃電貸攻擊竊取了存儲在該應用內的加密資產。據CremaFinance披露，黑客首先創建了一個虛假的「Tickaccount」賬戶。這種賬戶在CremaFinance用于存儲價格變動數據。創建假賬戶后，黑客通過將資金池的初始化Tick地址寫入假賬戶，繞過了平臺對Tick賬戶的例行檢查；之后，黑客部署了一個合約，并用該合約從Solend完成閃電貸，為CremaFinance的資金池增加流動性；在CremaFinance平臺中，交易費用的計算主要依賴于Tickaccount中的數據，「結果，真實的交易費用數據被偽造的數據替換，黑客通過從池中索取巨額費用來完成竊取。」簡而言之即，黑客利用CremaFinance的「Tickaccount」漏洞，以閃電貸的方式操作了該協議的資金池價格，并從中獲利。Solana鏈上的瀏覽器數據提供方SolanaFM追蹤了黑客的資金流向，該機構披露稱，黑客從Solend平臺進行了至少6筆閃電貸，有74010SOL被發現從原始錢包轉移到另一個替代錢包中，然后通過Wormhole協議分5批轉移到了以太坊錢包中。CremaFinance最新信息顯示，黑客已經將被盜資金兌換成69422.9SOL和6497738USDCet，其中USDCet通過跨鏈橋Wormhole轉移至以太坊，并通過Uniswap兌換為6064ETH。結合實時價格，CremaFinance此次被竊取的加密資產價值超過878萬美元。據悉，CremaFinance團隊已經通過鏈上消息聯系了未知攻擊者，如果黑客同意在72小時內歸還被盜資產，該團隊將給付80萬美元。該團隊表示，如果黑客不遵守規定，他們將聯系「和法律力量」追捕黑客。目前，黑客地址已在Solana和以太坊鏈上被追蹤并列入黑名單。截至發稿前，黑客地址尚未出現異動，CremaFinance也仍未恢復運營。Solana鏈上應用漸成黑客「提款機」

Decred聯合創始人：PayPal進軍加密市場可能是謠言:最近有傳言稱，PayPal可能正準備在其平臺上使用加密資產，而且開始招募加密貨幣和區塊鏈相關職位。Decred聯合創始人杰克·尤科姆·皮亞特（Jake Yocom-Piatt）認為，這個可能是謠言且無法確定有效性。杰克·尤科姆·皮亞特表示，比特幣是加密貨幣先驅，其核心是一種不受政府控制的價值轉移和存儲方法。加密貨幣和PayPal系統不匹配，PayPal是一個法定貨幣付款平臺，而且過去一直在剝奪用戶在其平臺上獲得合法購置資金機會。這種做法目的就是為阻止整合加密貨幣，所以如果PayPal平臺使用加密貨幣，會讓人感覺是一種奇怪的組合。（Cointelegraph）[2020/6/28]

今年，與以太坊競爭DeFi市場的Solana鏈上生態頻繁遭遇黑客光顧。3月下旬，Solana鏈上的協議穩定幣協議Cashio因安全漏洞導致其產生的穩定幣CASH徹底崩潰。在此事件中，黑客利用了該協議的一個漏洞，使他們能夠在沒有足夠頭寸的情況下鑄造無限供應的CASH。由于該事件，本應與美元掛鉤的CASH失去了價值。根據DefiLlama的數據，此次事件中，黑客從Solana鏈上的去中心化交易所中消耗了價值近2800萬美元的流動資金，DEXSabre因此停止了CASH流動性池。Cashio官方沒有披露此次攻擊造成的損失，但有安全專家根據對鏈上數據估算，這個穩定幣協議遭受的損失達約5000萬美元。Solana鏈上最臭名昭著安全事件發生在今年2月，當時，連接以太坊和Solana鏈的跨鏈橋Wormhole因黑客攻擊損失了超過3.2億美元的加密資產，成為迄今為止對Solana鏈生態的最大攻擊。當時，攻擊者通過Wormhole中的漏洞，在Solana鏈上鑄造了12萬枚封裝的ETH，隨后使用Wormhole將8萬封裝ETH換成以太坊區塊鏈上的合法ETH，同時將另外4萬封裝ETH兌換成Solana鏈上的其他資產。此次安全事件也讓業內開始關注跨鏈橋的安全問題。以太坊聯合創始人VitalikButerin曾在Reddit上警告跨鏈橋的風險，他認為，在以太坊上持有ETH的原生資產，總是比在Solana上持有ETH原生資產更安全。有分析認為，Solana鏈上DeFi應用被頻繁攻擊，與一些應用程序不開源有關，這樣就失去了白帽子們為它們發現漏洞的機會；此外，一些應用程序不謹慎地Copy以太坊鏈上同類應用的代碼也可能導致漏洞產生。對于DeFi運營團隊來說，如何防御黑客攻擊？DeFi安全和分析公司HashEx的創始人DmitryMishunin在最近的撰文中提示，要構建安全的DeFi協議，首先要有經驗豐富的區塊鏈開發人員，他們應該有一個專業的團隊領導，具有構建去中心化應用程序的技能，同時，使用安全代碼庫進行開發也是明智之舉，「有時，與具有最新代碼庫的庫相比，不怎么最新的庫可能是最安全的選擇。」「測試是所有嚴肅的DeFi項目必須做的另一件事。」Mishunin說，他總是強調去中心化地保護那些用于調用受限訪問智能合約功能的私鑰的重要性，「最好通過多重簽名使公鑰去中心化，防止一個實體完全控制合同。」

Enigma成立針對隱私的非贏利基金會SecretFoundation:Enigma宣布成立針對隱私的非贏利基金會SecretFoundation，目標是將隱私作為一種公共物品發展，通過提供必需的工具、技術、教育和支持來賦予人們權力，將在治理、可持續性和包容性產生重大的積極影響。SecretFoundation最初由EnigmaMPC捐贈資金維護，未來將從SecretNetwork網絡社區獲得一定資金以資助基金會的關鍵運營。SecretFoundation由Enigma增長主管TorBair創始執行董事兼董事長，EnigmaMPC聯合創始人兼CEOGuyZyskind和Iqlusion首席聯合創始人ZakiManian任董事。此前消息，區塊鏈項目開發團隊Enigma宣布將原本的隱私公鏈Enigma改名為SecretNetwork（隱秘網絡），宣布將于7月份啟動第一個隱秘合約（SecretContract）的公開激勵測試網。Enigma協議核心開發團隊EnigmaMPC聯合創始人兼CEOGuyZyskind于今年2月發文稱，會在未來6個月內將隱秘合約功能引入Enigma主網，考慮開發這一功能使用了像英特爾SGX這樣的受信任執行環境（TEE），團隊計劃在該功能上線主網之前，上線一個針對隱秘合約的激勵測試網。[2020/6/16]

Morgan Creek聯合創始人：CSW絕對不是中本聰:Morgan Creek Digital聯合創始人Jason A William發推稱：“提醒一下，Craig Wright（CSW）絕對不是中本聰。CSW此前曾宣稱將在減半之日對比特幣發起51%攻擊，并拋售大量BTC。但這一切并沒有發生。”[2020/5/15]

Tags：CRESOLLANAOLACREPSOL幣未來能夠漲到多少solana幣官網FRZ Solar System Coin

USDC