北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
时间线
北京时间4月8日凌晨02:47,一位用户担心Starstream的风险,于是在推特上发布了相关截图。随后,凌晨03:11,有人在StarstreamDiscord社群宣布资金库已被耗尽,并建议用户们尽快将自己的资产于Agora中提出。
Euler Finance黑客向Euler另一个地址再次归还7738枚ETH,已累计返还1.51亿美元:金色财经报道,据PeckShield监测,除今日早些时候Euler Finance攻击者通过0x8765开头和0xa1b4开头的地址向Euler部署者账户返还15476.1枚ETH和1070万枚Dai外,该攻击者还通过0xc4e04的地址向Euler部署者账户归还了7738.05枚ETH。黑客今日共计返还23214.15枚ETH和1070万枚Dai,约合4100万美元。此外,0xa1b44已将2000万枚DAI转移到一个中间地址0x0d1b...843,该地址将300万枚DAI转移到Euler:Multisig 2地址。
截止目前,Euler Finance攻击者已经向Euler返还了8.49万枚ETH(约1.51亿美元)以及约1490万枚DAI。[2023/3/28 13:30:21]
CZ:正协助监控可能会流向Binance的BitKeep黑客资金:12月28日,Binance首席执行官CZ在社交媒体发文表示,我们正协助监控可能会流向Binance的BitKeep黑客资金。虽然与CeFi不同,但DeFi(掌握自己的私钥)钱包也存在固有风险而非无风险,只是风险不尽相同。有必要学习安全和风险管理。[2022/12/28 22:12:48]
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
安全机构:Solana被盗事件黑客已将部分被盗资金转移至以太坊和波场:8月5日消息,加密货币追踪平台MistTrack发文表示,Solana生态钱包被盗事件黑客已将部分被盗资金转移至以太坊和波场,其中大部分被盗资金通过TransitSwap跨链完成转移;TAd4uAHdSVpSjwzfBycmKcQR2UvaW8rVzy地址中的约11,801枚USDT在波场网络被转移至个人钱包,可能是通过场外交易OTC交易。此外,黑客的初始Gas费也来自同一个个人钱包。[2022/8/5 12:04:13]
攻击流程
攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数,可以被任何人调用,因此攻击者顺利将STARS代币从Starstream转移到自己账户。
精选 | 腾讯安全报告:黑客攻击在上半年造成了20亿美元的损失:根据腾讯安全提供的数据显示,与数字数字货币有关的黑客攻击事件,从 2013 年到 2018 年(上半年)直接增加了大约五倍的数量,全年预计增加 10 倍左右,其中仅今年上半年,黑客对数字数字货币的攻击就已经直接造成 20 亿美元的损失。其中,因为交易所问题而造成损失的事件正在增多,一方面是缺乏法律监管带来的黑客肆意妄为,另一方面技术防护体系和监控程度也不如证券交易所和银行,再加上数字数字货币的匿名性所带来的低风险、高回报,数字货币行业也成为了黑客刀下的完美肥羊。[2018/8/16]
合约漏洞分析
此次漏洞发生的根本原因是:Distributorytreasury合约中的execute函数没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
资产追踪
据CertiKSkyTrace显示,4月8日凌晨5点,黑客已顺利将所盗资金转移至TornadoCash。
其他细节
漏洞交易:
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
写在最后
此次事件可通过安全审计发现相关风险。通过审计,可以查出这个函数是所有人都可以调用的,并且是一个底层调用。
在此,CertiK的安全专家建议:
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
标签:REASTASTARSSTRREAPER价格Star FoxxAllStars DigitalASTRADAO价格
中继基础设施中间件协议Pocket开始支持Fantom区块链。Fantom是一个为DeFi、加密dApps及企业服务区块链平台,扩展性极强.
1900/1/1 0:00:00SupraOracles很高兴地宣布与次世代交易平台Mizar合作。Mizar是次世代交易平台,允许交易者找到安全分配资金的策略,并使用各种交易工具启动其资产.
1900/1/1 0:00:00根据官方新闻稿,昨日,金融服务应用Dave与加密货币交易平台FTXUS达成战略合作伙伴关系,并获得FTXVentures的1亿美元投资.
1900/1/1 0:00:00一、上周行业动态上周对于绝大多数风险投资者来讲是一个被反复打脸的过程,北京时间周四凌晨,美联储FOMC声明将加息50个基点,并在6月份开始以每月475亿美元的步伐缩表.
1900/1/1 0:00:00包括二次方投票在内的所有投票的弱点之一是,对于任何大规模的问题,每个人影响结果的能力是如此之小。因此,深刻反映和理解自己对问题的真实信念的动力是微乎其微的。以美国大选为例.
1900/1/1 0:00:00稳定币是指与另一种资产的价格挂钩的代币,例如美元。第一个创立的稳定币是TetherUSDT,尽管多年来的传言、流言和仍未公开审计的隐蔽记录,但它至今仍是市场主导的代币.
1900/1/1 0:00:00