木星链 木星链
Ctrl+D收藏木星链
首页 > NEAR > 正文

REA:黑客能调用,你和我也可以?Starstream被盗1500万美元事件分析

作者:

时间:1900/1/1 0:00:00

北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。

黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。

Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。

时间线

北京时间4月8日凌晨02:47,一位用户担心Starstream的风险,于是在推特上发布了相关截图。随后,凌晨03:11,有人在StarstreamDiscord社群宣布资金库已被耗尽,并建议用户们尽快将自己的资产于Agora中提出。

NFT碎片化流动性协议Fracton Protocol交易额突破30亿美元:金色财经报道,NFT碎片化流动性协议Fracton Protocol在推出其睡不好hiNFT代币系列10个月后,交易额已突破30亿美元。Fracton Protocol通过将高价值的NFT系列(比如“无聊猿”BAYC和CryptoPunks)分解成小部分的NFT,使任何人都可以拥有和交易它们,截至目前该协议已支持“分解”25个蓝筹NFT项目。(nftplazas)[2023/4/16 14:06:51]

凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。

土耳其数字政府门户网站将支持使用基于区块链的数字身份登录:1月2日消息,土耳其计划将区块链技术应用于在线公共服务登录。土耳其数字政府门户网站e-Devlet用于访问各种公共服务,将使用基于区块链的数字身份在登录时验证土耳其公民身份。

土耳其副总统Fuat Oktay在Digital Türkiye 2023活动期间宣布,公民将能够使用基于区块链的数字身份访问电子钱包应用程序。Oktay称其区块链应用程序是电子政务工作的一次革命,并表示使用区块链的在线服务将更加安全和方便。用户能够将其数字信息保存在手机上。“通过在电子钱包应用程序范围内运行的登录系统,我们的公民将能够使用在区块链网络中创建的数字身份进入e-Devlet。”(Cointelegraph)[2023/1/3 22:21:23]

攻击流程

Coinbase:以太坊合并期间将暂停新ETH和ERC-20代币存取款,以确保系统完成过渡:8月16日消息,Coinbase表示,预计以太坊将在2022年9月15日前后转向权益证明 (PoS)机制,在合并期间,作为预防措施,Coinbase将暂时暂停新的以太坊(ETH)和ERC-20代币的存取款,以确保系统完成过渡,预计不会影响其他网络和中心化交易产品中的ETH和ERC-20代币交易。[2022/8/16 12:29:20]

攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数,可以被任何人调用,因此攻击者顺利将STARS代币从Starstream转移到自己账户。

美联储资产负债表规模到2025年中期料降至5.9万亿美元:5月25日消息,如果决策者遵循他们本月发布的缩表指引,那么到2025年年中,美联储持有的证券组合可能会降至5.9万亿美元。美联储打算从6月开始减持美国国债和抵押贷款支持证券,减持幅度将迅速升至每月950亿美元。但随着他们接近确保充足流动性所需的银行准备金水平,最终会放慢缩债步伐。纽约联储的预测显示,到2024年底之前,缩表规模平均为每月800亿美元。2025年年中之后,美联储的持仓可能保持在相当于美国GDP约22%的水平附近,然后再度开始增加。该报告显示,在缩表期间,美联储的投资组合构成基本保持不变。到2025年底,68%为美国国债,32%为机构抵押贷款支持证券。(金十)[2022/5/25 3:39:22]

合约漏洞分析

此次漏洞发生的根本原因是:Distributorytreasury合约中的execute函数没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。

在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。

资产追踪

据CertiKSkyTrace显示,4月8日凌晨5点,黑客已顺利将所盗资金转移至TornadoCash。

其他细节

漏洞交易:

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻击者地址:

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合约:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

写在最后

此次事件可通过安全审计发现相关风险。通过审计,可以查出这个函数是所有人都可以调用的,并且是一个底层调用。在此,CertiK的安全专家建议:

在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。

前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。

作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。

标签:REASTARSSTASTRDragon Evolution Augmented RealityNFTGamingStarsXSTAR价格Astra DAO

NEAR热门资讯
UST:Terra的定时炸弹在滴答作响,但在Curve上创建4Pool则扼杀了这种可能性

来源/Medium作者/JulianKusnetzoff编译/北辰??UST会像阿根廷的比索一样走向崩溃?不得不说,UST和阿根廷比索的货币政策非常相似.

1900/1/1 0:00:00
CRV:Delphi 探究 veToken 改进方案:如何使 Curve 更加去中心化?

要点veToken经济学激励流动性提供者成为DEX协议的长期利益相关者。这是通过给予那些锁定基础代币的人更多的奖励和治理权力来实现的.

1900/1/1 0:00:00
NOM:种子轮融资2200万美元,跨链互操作性协议Nomad如何运作?

4月13日,跨链互操作性协议?Nomad?以2.25亿美元估值完成高达2200万美元的种子轮融资,领投方为Polychain.

1900/1/1 0:00:00
ETH:关于PoS,你需要了解这14点

原文作者:u/domotheus原文编译:ETH?中文随着临近合并,更多新闻逐渐涌现,许多消息不灵通的加密记者也将发布更多文章.

1900/1/1 0:00:00
NFT:Web 3音乐:对传统音乐产业链的实验性革新

作者:子熹,0xRank一、传统音乐市场概况1.传统音乐市场正在经历消逝和新生在过去的20年中整个音乐市场规模可以用消逝和新生来形容.

1900/1/1 0:00:00
GEM:OpenSea收购GEM:一次垄断者「铲除威胁」的行动

OpenSea?收购Gem是非常中心化的手段了,当有竞品冒出,尽管尚且还构不成威胁,垄断龙头企业仍会通过强大的资本实力迅速收购/兼并,将威胁扼杀在苗头之中.

1900/1/1 0:00:00