以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > ICP > Info

黑客能調用,你和我也可以?Starstream被盜1500萬美元事件分析_STA:男生用ethereal當網名什么寓意

Author:

Time:1900/1/1 0:00:00

北京時間4月8日凌晨01:43:36,CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用,致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約,并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護,由STARS進行維護并治理。

時間線

北京時間4月8日凌晨02:47,一位用戶擔心Starstream的風險,于是在推特上發布了相關截圖。隨后,凌晨03:11,有人在StarstreamDiscord社群宣布資金庫已被耗盡,并建議用戶們盡快將自己的資產于Agora中提出。

BNB Chain上項目VPANDA DAO發生Rug Pull:金色財經報道,據SharkTeam鏈上分析平臺ChainAegis安全監測顯示:BNB Chain上項目VPANDA DAO發生Rug Pull,被盜資金約26.5萬枚BUSD,轉入地址0x33d2a493cea00918b02239604b94ad906d6eaf65。[2023/6/20 21:48:39]

凌晨04:36,另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

攻擊流程

Galaxy Digital CEO:美國的銀行業危機證明了加密貨幣的論點:金色財經報道,Galaxy Digital首席執行官Michael Novogratz在該公司第四季度財報電話會議上表示,美國的“債務狂歡”、銀行業危機證明了加密理論。他說:“沒有什么比美國的銀行業危機更能提醒你他們的系統是脆弱的了。加密貨幣在很多方面都是為了這一點而創造的,早在2009年,中本聰就擔心傳統金融系統的崩潰……比特幣確實是第一個去中心化的價值或貨幣存儲,然后才真正催生了整個行業。”[2023/3/29 13:32:14]

攻擊者調用合約并調用了Distributortreasury合約中的外部函數`execute()`。由于該函數為外部函數,可以被任何人調用,因此攻擊者順利將STARS代幣從Starstream轉移到自己賬戶。

谷歌計劃從下月開始公開測試增強現實眼鏡原型:7月20日消息,據外媒報道,谷歌(GOOG.O、GOOGL.O)周二宣布,計劃從下月開始公開測試增強現實(AR)眼鏡原型。谷歌稱,眼鏡原型該眼鏡原型看起來與普通眼鏡類似,將配備鏡頭內顯示屏,以及麥克風和車載攝像頭等視覺和音頻傳感器。這款眼鏡原型不支持拍視頻或拍照,在測試期間獲得的任何圖像數據都將被刪除,除非這些數據用于進一步分析或調試。(金十)[2022/7/20 2:25:48]

合約漏洞分析

此次漏洞發生的根本原因是:Distributorytreasury合約中的execute函數沒有任何的權限控制,因此可以被任何人調用。這個execute函數其實是一個底層調用,通過這個底層調用,攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

Coinbase將推出首個針對零售交易員的加密衍生產品:金色財經報道,Coinbase Derivatives Exchange本月將推出其首個加密衍生品產品,希望能吸引更多的零售交易者。根據一份聲明,Coinbase將于6月27日在受CFTC監管的期貨交易所Coinbase Derivatives (前 FairX)上推出其首個加密貨幣衍生品 Nano Bitcoin Futures(BIT)。該聲明稱:“全球加密衍生品市場的規模為3萬億美元,額外的產品開發和可訪問性將開啟顯著增長。”

今年早些時候,Coinbase收購了FairX,以推出加密衍生產品。在2020年底獲得監管部門批準后,FairX于2021年5月推出了其期貨交易平臺。Coinbase表示,該公司還在等待監管機構批準其期貨委員會交易商(FCM)牌照,為客戶提供保證金期貨合約。(coindesk)[2022/6/24 1:28:10]

在這次攻擊中,攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

資產追蹤

據CertiKSkyTrace顯示,4月8日凌晨5點,黑客已順利將所盜資金轉移至TornadoCash。

其他細節

漏洞交易:

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址:

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

寫在最后

此次事件可通過安全審計發現相關風險。通過審計,可以查出這個函數是所有人都可以調用的,并且是一個底層調用。在此,CertiK的安全專家建議:

在開發過程中,應該注意函數的Visibility。如果函數中有特殊的調用或邏輯,需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑,其根本原因和這次攻擊一樣,都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。

Tags:REASTARSTASTR男生用ethereal當網名什么寓意StarShip BSCWISTA幣TrustRise

ICP
重新審視胖協議理論:協議層的價值捕獲能力在減退_DAP:APP

來源:MessyProblems原作者:ChiaJengYang,Messari分析師 編譯:餅干,鏈捕手 2016年.

1900/1/1 0:00:00
「最火超英」蝙蝠俠NFT來了,未來兩年的賦能也規劃好了_NFT:PAL

出品|白澤研究院 周三,全球最大電影和電視娛樂制作公司之一的華納兄弟在贊助的<NFT|LA>線下峰會上宣布.

1900/1/1 0:00:00
去中心化社交媒體:Crypto 領域的下一件大事?_SOC:League of Ancients

撰文:MitchEiven,CointelegraphMagazineNFT和元宇宙是目前Crypto生態系統中最熱門的話題.

1900/1/1 0:00:00
Ronin被黑,詳解6.1億美元“何去何從”_SKY:Skychain

后知后覺金錢消失術 在加密世界中,私鑰管理和保持私鑰安全性,一直是個重要的話題。近日,當下最流行的NFT游戲AxieInfinity側鏈RoninNetwork受到黑客攻擊,造成價值約6.1億美.

1900/1/1 0:00:00
彭博社發布SBF特稿:計劃捐出99%財富的億萬富豪與利他主義者_SBF:Milady Vault (NFTX)

原作者:ZekeFaux,彭博社高級記者原標題:《A30-Year-OldCryptoBillionaireWantstoGiveHisFortuneAway》 編譯:胡韜.

1900/1/1 0:00:00
Crypto Insiders創始人撰文:為什么未來屬于NEAR?_NEAR:OIN

翻譯:蔣海波 4月7日,CryptoInsiders創始人ZoranKole一篇《未來屬于NEAR》的文章引起了加密社區的討論,他寫到,在4月20日.

1900/1/1 0:00:00
ads