BTC/HKD+2.33%
ETH/HKD+0.13%
LTC/HKD+4.11%
DOT/HKD-3.86%
ADA/HKD-6.38%
SOL/HKD+1.4%
XRP/HKD+0.14%
DOGE/US-1.91%北京時間4月8日凌晨01:43:36,CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用,致使約1500萬美元的資產受到損失。
黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約,并向其借入了包括Metis、WETH和m.USDC在內的多種資產。
Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護,由STARS進行維護并治理。
凌晨04:36,另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。
報告:2020年移動設備將成為黑客攻擊的重點目標:McAfee今日發布了其《移動威脅報告2020》,報告發現黑客正在使用隱藏的移動應用、第三方登錄和假冒游戲視頻來攻擊消費者。去年,黑客使用后門、加密貨幣挖礦等各類方法攻擊消費者,隱藏的移動應用程序導致了大約50%的惡意威脅。根據一項新的研究,McAfee發現,黑客已經擴展了隱藏攻擊的方式,使得識別和刪除攻擊變得越來越困難,2020年,移動設備似乎將面臨更大威脅。(BusinessWire)[2020/3/4]
合約漏洞分析
沒有任何的權限控制,因此可以被任何人調用。這個execute函數其實是一個底層調用,通過這個底層調用,攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。
動態 | 內置加密錢包的三星Galaxy S10遭到黑客入侵:據dailyhodl報道,內置加密錢包的三星Galaxy S10遭到黑客入侵。名為darkshark的黑客通過打印指紋的3D模型,破解了手機的內置超聲波指紋傳感器。[2019/4/7]
在這次攻擊中,攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。
TornadoCash。
其他細節
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
聲音 | Coinbase首席執行官:加密貨幣中大多數錯誤都是個人失誤 而非黑客攻擊:據CCN報道,Coinbase首席執行官Brian Armstrong表示,加密貨幣中大多數最大的錯誤都是人為造成的,而非黑客攻擊,因為人們無法時刻確保任何細節都是正確的。在熱錢包中存儲大量比特幣更是危險的,因為人不僅自己會犯錯,還有遠遠超出自己控制范圍的系統部分也可能會出現錯誤。[2019/2/22]
攻擊者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合約:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
在開發過程中,應該注意函數的Visibility。如果函數中有特殊的調用或邏輯,需要確認函數是否需要相應的權限控制。
前段時間有大量的項目因publicburn()函數而被黑,其根本原因和這次攻擊一樣,都是由于缺乏必要的權限控制所導致。
作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。
歡迎點擊CertiK公眾號底部對話框,留言免費獲取咨詢及報價!
Tags:REASTRSTARSTAWorld Stream FinanceStruggle DogeSTARSHIPDOGE價格United States Property Coin
原文標題:《Anyonecanbeanodevalidator》原文作者:BenGiove,Bankless分析師原文編譯:南風,Unitimes?經過多年的開發和等待.
1900/1/1 0:00:00本文來自TheBlock,原文作者:AnushreeDaveOdaily星球日報譯者|念銀思唐 摘要: -該公司的一份聲明稱.
1900/1/1 0:00:00尊敬的用戶:DOGEKING舉辦的“上線好禮,豪送500億糖果”雙重福利活動,活動一、活動二獎勵已發放,獎勵已發放至用戶資產-幣幣賬戶,發放記錄可前往財務記錄-其他記錄查看.
1900/1/1 0:00:00元宇宙是虛擬增強的物理現實和物理持久的虛擬空間的融合,允許用戶將其作為其中之一來體驗。該術語于1992年在科幻小說《雪崩》中首次提出,由前綴"meta"和詞根"verse"組成.
1900/1/1 0:00:004月9日消息,隨著加密貨幣在全球的興起并且越來越多地被采用,納米比亞央行最近發布其金融科技監管框架,并宣布有意推出其中央銀行數字貨幣。納米比亞銀行表示,“我們不能忽視CBDC,這是一個現實.
1900/1/1 0:00:00親愛的用戶: 為了給用戶提供更豐富的交易選擇,幣安閃兌交易平臺已上線6個新資產-GMT、POLS等,並新增其它150個幣對.
1900/1/1 0:00:00
比特幣交易所
