火星链 火星链
Ctrl+D收藏火星链

REA:黑客能调用,你和我也可以?Starstream被盗1500万美元事件分析

作者:

时间:1900/1/1 0:00:00

北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。

黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。

Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。

时间线

北京时间4月8日凌晨02:47,一位用户担心Starstream的风险,于是在推特上发布了相关截图。随后,凌晨03:11,有人在StarstreamDiscord社群宣布资金库已被耗尽,并建议用户们尽快将自己的资产于Agora中提出。

Downdetector:OpenAI发生若干故障:金色财经报道,据网络监测网站Downdetector,一名用户报告称,OpenAI发生若干故障。[2023/4/19 14:11:46]

凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。

攻击流程

攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数,可以被任何人调用,因此攻击者顺利将STARS代币从Starstream转移到自己账户。

安全公司Dedaub因披露Uniswap重入漏洞获得4万美元漏洞赏金:1月3日消息,安全公司 Dedaub 团队宣布获得 Uniswap Labs 的 4 万枚 USDC 安全漏洞赏金,因为其披露 Uniswap 的一个严重漏洞,该漏洞有重入并耗尽用户的资金的可能性。不过,Uniswap 团队已解决该漏洞并在所有链上重新部署了 Universal Router 智能合约,资金是安全的。

Uniswap 在 2022 年 11 月份发布通用路由器Universal Router智能合约,可将 ERC20 和 NFT 兑换统一到一个交换路由器中,用户可以执行异构操作,例如,在一笔交易中交换多个 Token 和 NFT。

Dedaub 表示,该路由器为各种 Token 操作嵌入了脚本语言,此类命令可能包括向第三方(可能不受信任的)接收人的传输。如果在传输过程中的任何时候调用第三方代码,该代码可以重新进入 UniversalRouter 并在合约中临时认领任何 Token。Dedaub 建议 Uniswap 为新路由器的核心执行添加一个重入锁,并重新部署。[2023/1/4 9:50:22]

合约漏洞分析

FLOW链上交易活动大幅下降,原生Token已跌至0.89美元历史新低:金色财经报道,支持NBATopShot的区块链FLOW交易活动近期大幅下降,coingecko数据显示其原生Token FLOW也跌至0.89美元,创下历史新低,过去7天跌幅为14.8%,过去30天跌幅达到26.6%。相较于2021年4月创下的42美元峰值,当前FLOW价格已缩水98%。

此外,FLOW链上交易额已从9月的3900万美元跌至11月的770万美元,其中NBATopshot在11月更是创下两年交易额新低,不到210万美元,而NFLAll Day上月交易额则跌至360万美元。(decrypt)[2022/12/16 21:48:19]

此次漏洞发生的根本原因是:Distributorytreasury合约中的execute函数没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。

美国参议员候选人:比特币的供应限制使其可与美元竞争:金色财经报道,美国新罕布什尔州参议员候选人布鲁斯芬顿扩大了对BTC的支持,同时反对任何政府参与监管该资产。

芬顿指出,政府不应参与大众的货币选择,因为他在 8 月 25 日的新罕布什尔州初选辩论中将美元等同于融化的冰块。 根据芬顿的说法,当前的货币体系已经崩溃,理由是美联储印钞的政策。他表示,比特币的供应限制使其可与美元竞争。(finbold)[2022/8/26 12:50:52]

在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。

资产追踪

据CertiKSkyTrace显示,4月8日凌晨5点,黑客已顺利将所盗资金转移至TornadoCash。

其他细节

漏洞交易:

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻击者地址:

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合约:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

写在最后

此次事件可通过安全审计发现相关风险。通过审计,可以查出这个函数是所有人都可以调用的,并且是一个底层调用。在此,CertiK的安全专家建议:

在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。

前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。

作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。

标签:REASTASTARSTARSReality Clash CoinParaStateARCSTARAvastars

欧易交易所热门资讯
DAO:当消费者成为创业伙伴:Web3 思维的演化之路

原标题:《从MVP到MVD:Web3思维的演化之路》从最小可行性产品到最小可行性DAOMVP这一概念最初由EricRies在《精益创业》中提出,意思是用最快、最简明的方式建立一个可用的产品原型.

1900/1/1 0:00:00
NFT:DeFi Dozen专业研报:盘点2022年最热门的DeFi行业公司&团队

Observer和CoinDesk联合研究了市值、基于风险投资的估值、Github搜索结果、CoinDesk上的推荐等重要数据,确定了2022年最热门的DeFi行业公司和团队,他们来了.

1900/1/1 0:00:00
WOR:a16z:零知识证明保护去中心化和隐私将取得一系列进展

作者:ElenaBurger/a16zCrypto编译:比推MaryLiu看待技术进步的一种方法是从硬件的角度:随着新需求和用例的出现,芯片制造商会设计专用的GPU、FPGA和ASIC.

1900/1/1 0:00:00
VEX:Delphi 探究 veToken 改进方案:如何使 Curve 更加去中心化?

要点veToken经济学激励流动性提供者成为DEX协议的长期利益相关者。这是通过给予那些锁定基础代币的人更多的奖励和治理权力来实现的.

1900/1/1 0:00:00
HOR:Terra的定时炸弹在滴答作响,但在Curve上创建4Pool则扼杀了这种可能性

来源/Medium作者/JulianKusnetzoff编译/北辰??UST会像阿根廷的比索一样走向崩溃?不得不说,UST和阿根廷比索的货币政策非常相似.

1900/1/1 0:00:00
元宇宙:以 The Sandbox 为例:解析区块链元宇宙初形态

原标题:元宇宙初形态:游戏、UGC、IP以及经济系统元宇宙是现实世界的虚拟世界,需要对内容生产、经济系统、用户体验以及实体世界内容等进行大量改造.

1900/1/1 0:00:00