北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
研究人员:黑客攻击加密交易所有三种方式:8月10日消息,在黑帽安全会议上,研究人员透露,加密交易可能容易受到黑客的攻击。尽管加密交易所具有很高的隐私性和安全性来保护他们的资金,但他们仍然发现了黑客攻击这些加密交易所的方式。据称,密码学家及Taurus Group联合创始人Jean-Philippe Aumasson和密钥管理公司KZen Networks联合创始人Omer Shlomovits将这些攻击分为三类,分别是内部攻击、利用交易所与客户之间的关系进行攻击以及提取部分密钥。(Cointelegraph)[2020/8/10]
合约漏洞分析
攻击阿根廷电信运营商Telecom索要门罗币的黑客组织或为REvil:此前阿根廷电信运营商Telecom遭黑客入侵并索要门罗币赎金,有分析称,发起攻击的黑客组织很可能是REvil。首先,该组织因实施类似的勒索软件攻击而出名。例如,总部位于伦敦的交易所Travelex最近成为了REvil的受害者,并被索要230万美元的比特币。其次,Travelex遭黑客攻击后,由于担心BTC会留下证据,REvil将赎金又改为了门罗币。但到目前为止,还没有黑客组织对这次攻击负责。(Crypto Potato)[2020/7/20]
没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
动态 | 黑客利用70万台旧Windows计算机上的漏洞挖掘加密货币:据BeInCrypto今日报道,有黑客利用70万台旧Windows计算机上的漏洞挖掘加密货币,许多电脑已经受到影响。Windows 7或更老的操作系统存在BlueKeep漏洞,黑客利用微软的远程桌面协议,可以轻易地远程嵌入加密货币矿工,并从随机目标中窃取私人信息。[2019/11/5]
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
TornadoCash。
其他细节
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
为了庆祝国际妇女节,《魅力》杂志的编辑萨曼莎·巴里和黛博拉·约瑟夫与Meta全球商业集团的副总裁尼古拉·门德尔松(NicolaMendelsohn)进行了交谈.
1900/1/1 0:00:00一、项目介绍RebelBotsXoilWars是多边形网络上的跨平台卡牌对战游戏。玩家将能够在Xoilium星球上以单人或多人战斗模式进行游戏、进步和赚钱.
1900/1/1 0:00:00亲爱的大币网用户:大币网于2022年03月28-03月31日举办的“Dcoin合约体验金”活动已经圆满结束.
1900/1/1 0:00:00尊敬的用户:?????????BKEX即将上线COREDAO,详情如下:上线交易对:COREDAO/USDT??币种类型:ERC20充值功能开放时间:已开放交易功能开放时间:2022年4月5日1.
1900/1/1 0:00:00關於Gate.ioStartup免費空投計劃爲回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.
1900/1/1 0:00:00原文作者:Will,TheSeeDAONFT聚合器是近期NFT热潮中出现的一种新产品。它们允许收藏家在一次交易中批量买卖他们的NFT。GEM是目前最棒的NFT市场聚合平台.
1900/1/1 0:00:00