黑客能調用，你和我也可以？Starstream被盜1500萬美元事件分析-ODAILY_REA:ethereal有什么特殊的含義

北京時間4月8日凌晨01:43:36，CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用，致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約，并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護，由STARS進行維護并治理。

時間線

北京時間4月8日凌晨02:47，一位用戶擔心Starstream的風險，于是在推特上發布了相關截圖。隨后，凌晨03:11，有人在StarstreamDiscord社群宣布資金庫已被耗盡，并建議用戶們盡快將自己的資產于Agora中提出。

PeckShield：黑客在6月竊取了價值約227萬美元的NFT，較上月下降23%:金色財經報道，PeckShield分析表示，黑客在6月竊取了價值約227萬美元的NFT。較上月下降23%，上月為295萬美元。這可以歸因于底價下降。一半被盜NFT在盜竊發生后的三個小時內立即在各個市場上出售。Blur等著名NFT市場成為熱點，近86%的非法資金被出售，其次是OpenSea，占13.76%。

與此同時，Bored Ape Yacht Club (BAYC)、Otherdeed、Mutant Ape Yacht Club、Azuki Elementals以及DeGods等NFT系列的底價均大幅下跌。從數字資產行業的整體表現來看，6月份是今年第二高的月份。黑客通過42次黑客攻擊竊取了超過9200萬美元。[2023/7/4 22:16:21]

ParaSpace官推：此前從黑客攻擊中截流的資金實際被創始人Yubo控制:5月10日消息，Paraspace 團隊在推特上表示，通過鏈上數據分析顯示，此前在黑客攻擊中截留的 2909 枚以太坊被 ruanyubo.eth 和 paraspaceinsurance.eth 地址控制，而這兩個地址實際由 Paraspace 創始人 Yubo 控制，且黑客攻擊以來已有價值 100 萬美元的代幣流出到其他錢包以及 CEX 和 Circle。剩余資金已無法彌補協議此前因黑客攻擊導致的虧空。

團隊稱，此前在為 Paraspace 建立法人實體時因 Yubo 未正面回應財務方面問題而發現了資金被挪用。團隊目前將 Yubo 地址移出了項目多簽地址，并移除了 Yubo 的訪問權限。目前團隊要求 Yubo 將剩余的資金轉入協議多簽地址，但 Yubo 拒絕與之溝通。

Paraspace 團隊表示，目前團隊有能力填補協議的財務漏洞，將于今晚 20:00 進行直播分享事件的最新進展以及未來的恢復工作。[2023/5/10 14:55:04]

凌晨04:36，另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

動態 | 伊朗黑客制造惡意軟件勒索數字貨幣:據華爾街日報消息，全球管理咨詢公司埃森哲8月7日發布的一份報告顯示，伊朗黑客在過去兩年內通過制造惡意軟件，致使計算機系統無法運行。黑客以上述軟件勒索比特幣等數字貨幣。有報告稱，這些勒索活動很有可能受到伊朗政府支持。[2018/8/8]

攻擊流程

攻擊者調用合約并調用了Distributortreasury合約中的外部函數`execute()`。由于該函數為外部函數，可以被任何人調用，因此攻擊者順利將STARS代幣從Starstream轉移到自己賬戶。

合約漏洞分析

此次漏洞發生的根本原因是：Distributorytreasury合約中的execute函數沒有任何的權限控制，因此可以被任何人調用。這個execute函數其實是一個底層調用，通過這個底層調用，攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

黑客利用漏洞用名為Kitty的代碼開采門羅幣:據cryptovest報道，黑客利用漏洞將名為Kitty的遠程代碼植入Drupal系統，即使管理員從Drupal中刪除，代碼還是繼續運行。這種特殊攻擊是Drupalgeddon 2.0系列攻擊的一個變種，其中300多臺運行Drupal的服務器（包括圣地亞哥動物園和墨西哥奇瓦瓦州政府等網站）被迫為黑客攻擊門羅幣。[2018/5/25]

在這次攻擊中，攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

資產追蹤

據CertiKSkyTrace顯示，4月8日凌晨5點，黑客已順利將所盜資金轉移至TornadoCash。

其他細節

漏洞交易：

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

寫在最后

此次事件可通過安全審計發現相關風險。通過審計，可以查出這個函數是所有人都可以調用的，并且是一個底層調用。

在此，CertiK的安全專家建議：

在開發過程中，應該注意函數的Visibility。如果函數中有特殊的調用或邏輯，需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑，其根本原因和這次攻擊一樣，都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了3200家企業客戶的認可，保護了超過3110億美元的數字資產免受損失。

歡迎點擊CertiK公眾號底部對話框，留言免費獲取咨詢及報價！

Tags：REASTRSTARSTAethereal有什么特殊的含義Dogestributestart幣超話starlinkcom

DOGE