宇宙链 宇宙链
Ctrl+D收藏宇宙链

黑客能调用,你和我也可以?Starstream被盗1500万美元事件分析

作者:

时间:1900/1/1 0:00:00

北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。

黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。

Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。

时间线

北京时间4月8日凌晨02:47,一位用户担心Starstream的风险,于是在推特上发布了相关截图。随后,凌晨03:11,有人在StarstreamDiscord社群宣布资金库已被耗尽,并建议用户们尽快将自己的资产于Agora中提出。

Mabrex公布重组MBX代币的计划,以销毁尚未使用的6.7亿枚代币:金色财经报道,Netmarble区块链的子公司Mabrex公布重组Mabrex(MBX)代币经济学的计划。作为此次重组的一部分,Mabrex 将进行赞成和反对投票,以销毁Mabrex尚未宣布计划使用的全部约 6.7 亿枚代币(已发行的 10 亿枚 MBX 中)。投票将于7月4日起通过官方社区和投票网站快照针对会员NFT Marblership和MBX代币持有者进行。是否销毁的最终决定将于7月10日做出,具体销毁时间表将在稍后公布。[2023/6/27 22:02:16]

凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。

某DOGE巨鲸去年6月起持续囤币18.6亿枚,已浮盈4463万美元:金色财经报道,JieData监测数据显示,DOGE第13大持仓地址从2022年6月DOGE价格低点开始持续囤币至今,其中去年7月和8月重仓两笔,目前该地址共持有18.6亿枚DOGE(约1.76亿美元),当前账户盈利4463万美元。[2023/4/4 13:44:01]

攻击流程

攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数,可以被任何人调用,因此攻击者顺利将STARS代币从Starstream转移到自己账户。

合约漏洞分析

法甲俱乐部发起Web3联盟,将打造包括粉丝代币、nft等在内的Web3产品:11月21日消息,据外媒报道,法国足球甲级联赛(Ligue1)俱乐部宣布共同发起发起Web3联盟“The League of France Football Club”,目前顶级俱乐部图卢兹等已加入,该联盟将打造多个Web3产品,比如粉丝Token、NFT、上线足球赛事、并且为法甲联赛内的各家俱乐部发行NFT权益卡。(bignewsnetwork.com)[2022/11/21 7:51:54]

此次漏洞发生的根本原因是:Distributorytreasury合约中的execute函数没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。

O3 Labs将重启“将Bridge融入Swap”的提案:金色财经消息,O3 Labs发推表示,根据社区反馈,将在1小时内重新启动“将Bridge融入Swap”的提案,代币持有者可在以太坊网络上进行提案投票。

此前9月2日O3 Labs曾在Snapshot发布该提案投票,随后基于社区意见关闭。[2022/9/6 13:12:08]

在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。

资产追踪

据CertiKSkyTrace显示,4月8日凌晨5点,黑客已顺利将所盗资金转移至TornadoCash。

其他细节

漏洞交易:

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻击者地址:

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合约:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

写在最后

此次事件可通过安全审计发现相关风险。通过审计,可以查出这个函数是所有人都可以调用的,并且是一个底层调用。在此,CertiK的安全专家建议:

在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。

前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。

作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。

标签:REASTARSTASTARSREAU价格future-starBitStashFootballStars

fil币价格今日行情热门资讯
马斯克:未来几个月会对Twitter做重大改进

特斯拉创始人马斯克,可谓是一位异常活跃、充满影响力且最不务正业的公关高手,他的一举一动持续在影响着加密圈子里每位成员的判断,DOGE就曾因马斯克作出不会抛售比特币、以太坊和狗狗币的承诺短时飙升了9%,达到近两个月走势的最高点.

1900/1/1 0:00:00
76 亿美金估值、2022 年全球最具创新力公司,Dapper Labs 是如何做到的?

作者:MetaverseHub根据海外平台NonFungible.com的最新分析师数据显示,2021年全球NFT的总成交额超过了180亿美元,而相对应的2020年只有8,200万美元,也就是说在过去的一年中.

1900/1/1 0:00:00
观点 :Web 3的聚合领域将在未来迸发出巨大价值

大家好! 我和Quantstamp的Krishna?在这篇文章中展示了Web3中多个价值数十亿美元的公司是如何通过压缩信任和验证的成本而建立的。如果你看到这篇文章并决定建立一些很酷的东西,请给我发邮件.

1900/1/1 0:00:00
YGG和它的对手们:对比研究八个打金公会及其投资理论

作者:Mcsauceth?&?0xSong,Impossible?Research编译:Andy,IOSGVentures P2E公会格局拆解分析 Play-to-Earn(P2E)类游戏近几个月来的兴起可以归因于各种因素.

1900/1/1 0:00:00
对比跨链双雄:Polkadot与Cosmos分别有哪些特点?

“波卡知识图谱”是我们针对波卡从零到一的入门级文章,我们尝试从波卡最基础的部分讲起,为大家提供全方位了解波卡的内容,当然这是一项巨大的工程,也充满了挑战,然而我们希望通过这样的努力让大家能够正确认知波卡.

1900/1/1 0:00:00
2022年Q1报告:风投向链游投入超25亿美元,DeFi初现成熟

2022年的前三个月提醒了dapp行业的每个人,这个新生的领域正在我们眼前迅速发展。来自不同类别的dapp——即游戏、DeFi和NFT,在我们面前展示了它们的潜力,同时也显现出在完全成为主流之前所必须解决的挑战.

1900/1/1 0:00:00