北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
BitKeep:用户资金被盗疑似因下载了被黑客劫持的APK版本:12月26日消息,Web3多链钱包BitKeep发布公告称,经过团队初步排查,疑似部分APK包下载被黑客劫持,安装了被黑客植入代码的包。如用户资金出现被盗情况,用户下载或者更新的应用或许是被劫持的不明版本(非官方发布版本)。现在出于用户资金安全的谨慎考虑,如用户下载的是APK版本,请将资金转移至其他官方商店(App Store或Google Play)下载的钱包中。此外,建议使用新创建的钱包地址,用户通过APK创建的地址或有可能泄漏给了黑客。BitKeep发布提示称:“如条件允许,请务必使用苹果或谷歌官方商店下载和使用BitKeep钱包,以确保您的资产安全。”
金色财经此前报道,多名用户在其官方Telegarm群中称其资金被盗,BitKeep团队称如因平台原因导致的资产损失,BitKeep安全基金将进行全额赔付。[2022/12/26 22:07:50]
时间线
派盾:多链钱包UvToken遭遇攻击,黑客获利约150万美元:金色财经报道,据派盾预警监测,多链钱包UvToken遭遇攻击,UVT代币价格下跌99%,攻击者已将盗取的约5011枚BNB(价值约150万美元)转入Tornado Cash。[2022/10/27 11:47:58]
北京时间4月8日凌晨02:47,一位用户担心Starstream的风险,于是在推特上发布了相关截图。随后,凌晨03:11,有人在StarstreamDiscord社群宣布资金库已被耗尽,并建议用户们尽快将自己的资产于Agora中提出。
Twitter移除内部工具截图 据称黑客使用该工具盗取账户:据新浪科技援引外媒报道,Twitter此前发生大规模账户被盗事件,包括乔·拜登(Joe Biden)、Uber和苹果公司的官方账户都被黑客控制,并发布了加密货币内容。两位接近地下黑客社区的消息人士向媒体提供了一个内部面板的截图,他们声称Twitter员工正是使用这个面板与用户账户进行交互的。一名消息人士表示,Twitter的这个面板还可以用来改变一些所谓的OG账户的所有权,而黑客正是使用了这个控制面板盗取了账户并发送了加密货币信息。之后,Twitter一直在忙于删除这些截图,并且封禁了那些传播了这张截图的用户,并声称这些内容违反了该公司的规则。[2020/7/16]
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
公告 | SYS:未遭黑客攻击:SYS发布公告称,7月3日,Syscoin团队在Syscoin和Binance平台上发现了异常交易。 Syscoin非常重视安全性,因此要求所有交易所暂时停止交易SYS,直到能够确定交易异常的原因。SYS经过调查后确定:1. Syscoin没有被黑客入侵;2. Syscoin链未受到攻击;3. 根据设计,Syscoin链完全可操作。[2018/7/5]
攻击流程
攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数,可以被任何人调用,因此攻击者顺利将STARS代币从Starstream转移到自己账户。
韩媒测试Bithumble在内五家比特币交易所安全性 使用“基本黑客工具”即可侵入:韩国媒体网站MBC聘请了一家安全公司对包括Bithumb在内的五家韩国比特币交易所的安全性进行了测试,结果令人堪忧。这五家交易所均成功被入侵,而且使用一些基本的黑客工具就能接收用户数据和资金。MBC已经联系了韩国政府,通报当地交易所的重大安全问题,但官方还没有对MBC的调研做出回应。[2017/12/22]
合约漏洞分析
此次漏洞发生的根本原因是:Distributorytreasury合约中的execute函数没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
资产追踪
据CertiKSkyTrace显示,4月8日凌晨5点,黑客已顺利将所盗资金转移至TornadoCash。
其他细节
漏洞交易:
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
写在最后
此次事件可通过安全审计发现相关风险。通过审计,可以查出这个函数是所有人都可以调用的,并且是一个底层调用。
在此,CertiK的安全专家建议:
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
非同质化代币(NFT)是加密货币世界的主流收藏品,其影响远远超越金融领域。尽管当前大多数的NFT仅限于金融和游戏,但它们几乎在其他行业都有潜在应用。时尚就是最好的例子。时尚品牌通过NFT进入了虚拟世界,满足了新一代消费者.
1900/1/1 0:00:00区块链技术的核心价值主张正在从cryptocurrency转向智能合约,这与当年互联网从电子邮件发展至万维网的路径如出一辙。智能合约效率更高且对手方风险更小,因此势必将成为主流的数字协议.
1900/1/1 0:00:00我们看看当前看跌的加密货币市场并考虑另类投资选择。即使在加密熊市期间,也可以通过转向新策略而不是依靠单一渠道获利来赚钱。我们来看看以太坊、币安和Polygon网络的当前趋势。我们还将评估目前在加密货币市场之外是否存在最佳价值.
1900/1/1 0:00:00“波卡知识图谱”是我们针对波卡从零到一的入门级文章,我们尝试从波卡最基础的部分讲起,为大家提供全方位了解波卡的内容,当然这是一项巨大的工程,也充满了挑战,然而我们希望通过这样的努力让大家能够正确认知波卡.
1900/1/1 0:00:00三月总结 MixMarvelDAOVenture3月,MixMarvel成立了去中心化投资组织MixMarvelDAOVenture,已准备好进入专业投资和孵化高质量Web3项目和团队的阶段.
1900/1/1 0:00:002021年8月,TokenTerminal数据显示,NFT区块链游戏AxieInfinity以高达3.34亿美元的30日营收业绩,远远超过《王者荣耀》在7月的2.31亿美元收入.
1900/1/1 0:00:00