Hacker trả lại phần lớn số tiền cho Crema Finance
Crema Finance sau đó đã đề nghị hacker trả lại tiền với cam kết sẽ cho hắn giữ lại 800.000 USD làm phần thưởng bug bounty (săn lỗi nhận phần thưởng).
Đến sáng 07/07, dự án cho biết hacker đã nhất trí trả lại tiền sau khi thương thảo. Theo đó, Crema Finance đã nhận lại 6.064 ETH và 23.967 SOL, tương đương gần 7,9 triệu USD. Theo thỏa thuận, hacker sẽ được phép giữ 45.455 SOL (1,65 triệu USD) làm bug bounty.
👉After a long negotiation, the hacker agreed to take 45455 SOL as the white hat bounty. Now we have confirmed the receipt of 6064 ETH + 23967.9 SOL in four transactions indicated below. A follow-up compensation plan will be released in 48h.
— CremaFinance (@Crema_Finance) July 6, 2022
Theo tài khoản nghiên cứu bảo mật zachxbt, sở dĩ hacker quyết định hợp tác với dự án là vì trong quá trình tẩu tán tài sản, tin tặc đã để dính giao dịch với một địa chỉ có liên hệ với sàn Gemini, đe dọa để lộ danh tính của hắn.
A smart decision here by the hacker to negotiate a bounty & return funds (18.5% of $8.8m). Interestingly enough they did a relatively poor job of covering their tracks.
Two suspiciously timed Tornado withdrawals lead back to an address funded via Gemini https://t.co/zLmTwciQEy https://t.co/jUBsmk0XdD pic.twitter.com/4tZIjG9KiD
— ZachXBT (@zachxbt) July 6, 2022
Dưới đây là bài viết gốc:
Crema Finance thông báo bị hack
Vào sáng ngày 03/07/2022, Crema Finance đã thông báo khẩn cấp trên Twitter để cảnh báo người dùng về việc dự án đang bị tấn công và buộc phải tạm ngưng hoạt động để xử lý.
1) It’s been a tough day. Here we would like to give a recap of the recent hacking we just suffered from and share the information that we have in hands with all our users and Solana audience with transparency.
— CremaFinance (@Crema_Finance) July 3, 2022
Theo xác nhận của Crema, thiệt hại từ vụ tấn công là khoảng 8,7 triệu USD.
Hiện tại, Crema vẫn đang cố gắng khắc phục sự cố, đồng thời liên kết với các bên như Etherscan, Solana để đưa danh sách ví của hacker vào blacklist, truy dấu dòng tiền.
The hacker’s addresses are blacklisted on both Solana and Ethereum (thanks to @etherscan , @solscanofficial , and @solanafm). The hacker has moved part of the stolen fund to the ethereum address (0x8021b2962dB803b73Aa874030B0B42c202E8458F). We’re closely tracking its movements.
— CremaFinance (@Crema_Finance) July 3, 2022
Crema Finance tuyên bố sẽ cho hacker 72 tiếng để trả lại tiền và được phép giữ lại 800.000 USD làm phần thưởng bug bounty. Nếu không, dự án tuyên bố sẽ mời pháp luật điều tra và truy lùng cho bằng được thủ phạm.
Hacker đã lợi dụng lỗ hổng nào?
Về cách hacker tấn công, hiện Crema chưa có thông tin chính xác. Qua các dữ liệu thu thập được, tài khoản xNFT Pierre Arowana đã có một giải thích sơ bộ trên Twitter:
1/ What happened to @Crema_Finance ?⁰ The hacker seems to have made > $6m by simply chaining deposit => claim => withdraw into the Crema AMM.⁰
Leveraging Solend flash loans to get started with a large amount of tokens⁰⁰One of the transactions:https://t.co/33TMAuUfRR
— xNFT Pierre Arowana (@PierreArowana) July 3, 2022
Để tấn công vào Crema Finance, hacker đã sử dụng công cụ flash loan trên Solend, vay một lượng tiền sau đó deposit vào pool. Hacker đã lợi dụng các lệnh deposit, claim và withdrawal để rút tiền. Mấu chốt ở đây là việc hacker có thể yêu cầu claim fee từ pool một cách “thoải mái” (thông thường chỉ những người cung cấp thanh khoản mới claim được, và claim fee theo số lượng được chia theo tỷ lệ cung cấp thanh khoản).
xNFT Pierre Arowana nhận định đây là một lỗi cơ bản trên Solana, khi tài khoản không được xác thực đầy đủ, dẫn đến hacker có thể tạo ra dữ liệu giả để thao túng dự án.
Crema Finance là một dự án tổng hợp thanh khoản khá mới trên Solana. Sau khi bị tấn công, dự án đã ngay lập tức bị tụt TVL nghiêm trọng (từ 12.55 triệu USD vào ngày 02/3 về chỉ còn khoảng 3.8 triệu USD trong hôm nay).
TVL trên Crema bị sụt giảm nghiêm trọng – Nguồn DefiLlama