以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > 非小號 > Info

黑客能調用,你和我也可以?Starstream被盜1500萬美元事件分析_STAR:Ouro Stablecoin

Author:

Time:1900/1/1 0:00:00

北京時間4月8日凌晨01:43:36,CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用,致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約,并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護,由STARS進行維護并治理。

凌晨04:36,另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

Euler Finance黑客向Euler另一個地址再次歸還7738枚ETH,已累計返還1.51億美元:金色財經報道,據PeckShield監測,除今日早些時候Euler Finance攻擊者通過0x8765開頭和0xa1b4開頭的地址向Euler部署者賬戶返還15476.1枚ETH和1070萬枚Dai外,該攻擊者還通過0xc4e04的地址向Euler部署者賬戶歸還了7738.05枚ETH。黑客今日共計返還23214.15枚ETH和1070萬枚Dai,約合4100萬美元。此外,0xa1b44已將2000萬枚DAI轉移到一個中間地址0x0d1b...843,該地址將300萬枚DAI轉移到Euler:Multisig 2地址。

截止目前,Euler Finance攻擊者已經向Euler返還了8.49萬枚ETH(約1.51億美元)以及約1490萬枚DAI。[2023/3/28 13:30:21]

合約漏洞分析

NFT平臺AxieInfinity疑似遭遇黑客攻擊:據BitcoinMemeHub爆料,NFT平臺AxieInfinity遭遇黑客攻擊,采用的攻擊手段是復雜的Crtl+S。(嗶嗶News)[2020/9/28]

沒有任何的權限控制,因此可以被任何人調用。這個execute函數其實是一個底層調用,通過這個底層調用,攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

在這次攻擊中,攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

動態 | 報告:2018年愛爾蘭勒索軟件和惡意軟件攻擊數量下降,黑客轉向網絡釣魚和加密挖礦:據Irish Times報道,去年愛爾蘭的勒索軟件和惡意軟件攻擊數量下降,但黑客現在轉而轉向網絡釣魚和加密挖礦。 微軟今年2月發布的的安全情報報告顯示,全球范圍內的惡意軟件攻擊總體下降了60%。愛爾蘭是事故發生率最低的國家之一。就惡意軟件而言,愛爾蘭的月遭遇率為1.26%,是報道的最低數字。 微軟愛爾蘭解決方案總監Des Ryan表示,“我們看到犯罪黑客的行為發生了重大變化,他們希望訪問受害者的計算機和組織的網絡來訪問數據,但也利用他們的計算能力來挖掘加密貨幣……微軟分析師預測,在可預見的未來,網絡釣魚仍將是一個問題。” 微軟研究顯示,缺乏安全培訓、使用帶有工作相關數據的個人設備以及密碼方面的松懈做法都是公共和私營部門組織面臨的安全風險。[2019/5/16]

TornadoCash。

其他細節

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址:

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

在開發過程中,應該注意函數的Visibility。如果函數中有特殊的調用或邏輯,需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑,其根本原因和這次攻擊一樣,都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。

歡迎點擊CertiK公眾號底部對話框,留言免費獲取咨詢及報價!

Tags:REASTARSSTARSTACREAMStarship InuStartupersCoinOuro Stablecoin

非小號
關于暫停LED各項功能的公告_BitMart:bitmart最新消息

親愛的BitMart用戶:為配合LED項目方要求,BitMart將會支持LED的代幣遷移。BitMart將暫停所有LED相關的功能,關閉LED/USDT交易對.

1900/1/1 0:00:00
SKL/USDT 4月14日上線大幣網(Dcoin)公告_COI:Biaocoin

親愛的大幣網(Dcoin)用戶:SKL將上線大幣網(Dcoin),具體時間安排如下,邀請您體驗!4月13日15:00(GMT8)開放充值4月14日15:00(GMT8)SKL/USDT4月15日.

1900/1/1 0:00:00
Hotcoin關於開放BRK交易的公告_HOT:COI

尊敬的用戶:Hotcoin將於(GMT8)2022年4月12日18:00開放BRK充值業務,(GMT8)2022年4月14日18:00開放BRK/USDT交易業務.

1900/1/1 0:00:00
AlgoBlocks (ALGOBLK)_GOB:algo幣有沒有利好消息

一、項目介紹 我們正在創建一個中間層使任何用戶都能夠與我們幫助連接到我們的廣泛的DeFi產品套件進行交互,該界面由極其精簡和直觀的增強特點.

1900/1/1 0:00:00
保持好奇心!2022年下一個爆點,你得提前埋伏_NFT:DAO

如果有持續關注一線基金和主流市場,會發現最近誕生了不少音樂NFT平臺。回味2021年初NFT市場井噴之前,你會感覺此時此刻,恰如彼時彼刻.

1900/1/1 0:00:00
詳解Redacted Cartel:Curve生態是套娃還是DeFi樂高的巧妙組合?_VEX:Aggregated Finance

原文來源:片面Crypto本文嘗試從CurveWar的基礎上去簡單理解RedactedCartel,把RedactedCartel理解為是CurveWar的Bribe延伸平臺.

1900/1/1 0:00:00
ads