比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > USDC > Info

黑客能調用,你和我也可以?Starstream被盜1500萬美元事件分析-ODAILY_STAR

Author:

Time:1900/1/1 0:00:00

北京時間4月8日凌晨01:43:36,CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用,致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約,并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護,由STARS進行維護并治理。

時間線

北京時間4月8日凌晨02:47,一位用戶擔心Starstream的風險,于是在推特上發布了相關截圖。隨后,凌晨03:11,有人在StarstreamDiscord社群宣布資金庫已被耗盡,并建議用戶們盡快將自己的資產于Agora中提出。

DeFi收益聚合器Yearn針對v3版本發起黑客公開挑戰計劃:7月26日消息,DeFi 收益聚合器 Yearn 在社交媒體上發文表示,其 v3 版本已經經過多次審核和內部審查,即日起將發起黑客挑戰計劃,若黑客能成功從 Yearn v3 Vault 中獲取資金,Yearn 將不予追究。[2023/7/26 15:58:43]

凌晨04:36,另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

Poly Network發布供黑客轉回資產的地址:8月11日消息,Poly Network希望黑客將資產轉移到以下地址:ETH: 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f; BSC: 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc;Polygon: 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17。[2021/8/11 1:47:58]

攻擊流程

攻擊者調用合約并調用了Distributortreasury合約中的外部函數`execute()`。由于該函數為外部函數,可以被任何人調用,因此攻擊者順利將STARS代幣從Starstream轉移到自己賬戶。

合約漏洞分析

動態 | 網傳“Fomo 3D遭受黑客攻擊” 慢霧安全團隊判斷為DDoS攻擊:網傳“Fomo 3D遭受黑客攻擊”,慢霧安全團隊判斷為Fomo 3D網站遭受了DDoS攻擊,但以太坊上智能合約不受影響,因為以太坊網絡Gas值尚在正常范圍內。目前,Fomo 3D網站使用的安全管理網站Cloudflare已開啟高防驗證,用戶需等待5秒才能訪問網站。據悉,5秒等待時間幾乎是Cloudflare的最高級DDoS防御策略。[2018/7/31]

此次漏洞發生的根本原因是:Distributorytreasury合約中的execute函數沒有任何的權限控制,因此可以被任何人調用。這個execute函數其實是一個底層調用,通過這個底層調用,攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

動態 | 黑客盜取FOX旗下節目官方賬號推廣TRON:據btcmanager報道,黑客盜取了FOX旗下節目“Almost Human”的官方推特賬號,從那以后一直將其用于惡意目的。該帳戶目前被用于冒充TRON(TRX)的創始人兼首席執行官孫宇晨,一直在轉發其推文。[2018/7/27]

在這次攻擊中,攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

資產追蹤

據CertiKSkyTrace顯示,4月8日凌晨5點,黑客已順利將所盜資金轉移至TornadoCash。

其他細節

漏洞交易:

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址:

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

寫在最后

此次事件可通過安全審計發現相關風險。通過審計,可以查出這個函數是所有人都可以調用的,并且是一個底層調用。

在此,CertiK的安全專家建議:

在開發過程中,應該注意函數的Visibility。如果函數中有特殊的調用或邏輯,需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑,其根本原因和這次攻擊一樣,都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。

歡迎點擊CertiK公眾號底部對話框,留言免費獲取咨詢及報價!

Tags:REASTASTRSTARStreakkstarl幣項目進展最新消息ASTRO幣STARL

USDC
為科學提供一個去中心化的數據共享空間-ODAILY_亞馬遜

科學數據的語料庫是分散的、受訪問控制的,它們的迅速增長已經超出了中心化服務的維護能力。點對點技術的最新發展使得建立一個對所有人開放的永久科學記錄檔案成為可能.

1900/1/1 0:00:00
波卡上各個平行鏈的資產是如何傳輸的?-ODAILY_DOT

“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.

1900/1/1 0:00:00
Rust智能合約養成日記(6)-ODAILY_NER

相關文章: Rust智能合約養成日記合約狀態數據定義與方法實現Rust智能合約養成日記編寫Rust智能合約單元測試Rust智能合約養成日記Rust智能合約部署.

1900/1/1 0:00:00
Tether項目周報(0411-0417 )-ODAILY_ETHE

TetherCTO:Tether仍將保持最常用穩定幣的地位金色財經消息,根據ArcaneResearch的一份報告,第二大穩定幣USDC在過去一年中一直以驚人的速度增長.

1900/1/1 0:00:00
EigenPhi報告:如何通過穩定幣套利,在4個月內大賺1.13億美元?-ODAILY_穩定幣

五大要點 1.MIM-UST套利策略在過去四個月中收獲了超過1.13億美元。2.本質上是一種無需資本投資的快速貸款的高級形式,它僅支付Gas費而獲得650倍的回報,而無需像三明治套利這樣提供高額.

1900/1/1 0:00:00
波卡生態周報:波卡共識度增速喜人,生態正朝著多方向拓展-ODAILY_DOT

Polkadot生態研究院出品,必屬精品波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察.

1900/1/1 0:00:00
ads