比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > FTX > Info

黑客能調用,你和我也可以?Starstream被盜1500萬美元事件分析-ODAILY_STAR

Author:

Time:1900/1/1 0:00:00

北京時間4月8日凌晨01:43:36,CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用,致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約,并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護,由STARS進行維護并治理。

時間線

北京時間4月8日凌晨02:47,一位用戶擔心Starstream的風險,于是在推特上發布了相關截圖。隨后,凌晨03:11,有人在StarstreamDiscord社群宣布資金庫已被耗盡,并建議用戶們盡快將自己的資產于Agora中提出。

Klaytn公布BUIDL the Future黑客松Klaytn賽道獲獎項目:3月2日消息,韓國區塊鏈平臺Klaytn發文介紹Coinbase Cloud主辦的BUIDL the Future黑客松Klaytn賽道的獲獎項目者,分別為:冠軍項目Web3眾籌平臺Wanna、第一名NFT游戲化平臺 Encryp、第二名NFT資產管理平臺 GameFolio。[2023/3/2 12:38:36]

凌晨04:36,另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

HyperPay錢包參加GISEC全球網絡安全大會 接受黑客攻防測試:據官方消息,日前,HyperPay錢包成為阿聯酋網絡安全委員會漏洞賞金計劃的創始伙伴,并參加3月20-23日的GISEC全球網絡安全大會,HyperPay錢包正在現場接受來自黑客的攻防測試,并提供漏洞獎金。GISEC全球網絡安全大會是世界規模最大、影響最大的網絡安全活動,尋求建立其與全球信息安全社區、企業領導人、政府的最終用戶和網絡安全解決方案。HyperPay錢包成立于2017年,是集托管理財錢包、去中心化自管錢包、HyperMate硬件錢包、共管錢包于一體的多生態數字資產錢包,為用戶提供資產存管、理財增值、消費支付等服務。[2022/3/22 14:11:29]

分析 | PeckShield:黑客利用EOS系統合約無限挖礦漏洞已完成修復:據IMEOS報道,隨著EIDOS挖礦的持續火熱,PeckShield全程跟蹤監控,黑客從DApp到交易所再到EOSIO系統合約進行惡意挖礦的行為,并向社區發出預警。今天,EOSIO新升級V1.8.1版本修復了短賬號競拍系統存在的無限挖礦漏洞。另PeckShield安全人員進一步分析認為,昨天黑客利用onerror特性挖礦消耗的僅為個人賬戶CPU,并不能無限制使用系統CPU資源,經官方修復短賬號系統缺陷后,黑客通過EOS系統惡意挖礦的預警已暫時解除,但DApp開發者和交易所仍要持續關注實時CPU消耗情況,應過濾合約賬戶避免被惡意竊取CPU資源。[2019/11/13]

攻擊流程

攻擊者調用合約并調用了Distributortreasury合約中的外部函數`execute()`。由于該函數為外部函數,可以被任何人調用,因此攻擊者順利將STARS代幣從Starstream轉移到自己賬戶。

動態 | BM在倫敦黑客馬拉松展示了一個demo RAM陡然上漲:據IMEOS報道,倫敦黑客馬拉松正在進行,參賽者要求在EOSIO平臺上開發一款能改善用戶隱私和安全性的應用程序。期間,RAM價格陡然上漲,BM在EOS官方電報群中解釋稱其給黑客們展示了一個特別的demo。[2018/9/23]

合約漏洞分析

此次漏洞發生的根本原因是:Distributorytreasury合約中的execute函數沒有任何的權限控制,因此可以被任何人調用。這個execute函數其實是一個底層調用,通過這個底層調用,攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

在這次攻擊中,攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

資產追蹤

據CertiKSkyTrace顯示,4月8日凌晨5點,黑客已順利將所盜資金轉移至TornadoCash。

其他細節

漏洞交易:

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址:

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

寫在最后

此次事件可通過安全審計發現相關風險。通過審計,可以查出這個函數是所有人都可以調用的,并且是一個底層調用。

在此,CertiK的安全專家建議:

在開發過程中,應該注意函數的Visibility。如果函數中有特殊的調用或邏輯,需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑,其根本原因和這次攻擊一樣,都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。

歡迎點擊CertiK公眾號底部對話框,留言免費獲取咨詢及報價!

Tags:REASTASTARSTARSXREATORSFootballStarsXSTAR幣NFT STARS

FTX
SupraOracles與區塊鏈物聯網平臺IoTeX建立合作-ODAILY_UPR

SupraOracles很高興地宣布與IoTeX建立合作伙伴關系,IoTeX是領先的區塊鏈和物聯網平臺,具有MachineFi的愿景.

1900/1/1 0:00:00
拜登的數字資產行政命令:Crypto行業的歷史拐點-ODAILY_加密貨幣

昨日,美國白宮公布了一項關于加密貨幣監管的新行政命令,名為《關于確保負責任地發展數字資產的行政命令》.

1900/1/1 0:00:00
CZ都看好的2022年風口, SocialFi賽道現狀全覽-ODAILY_CIA

Grace@footprint.networkDataSource:FootprintAnalyticsSocialFiDashboard-Jan繼《一文快速了解SocialFi》介紹Socia.

1900/1/1 0:00:00
Hundred與Agave閃電貸攻擊事件分析-ODAILY_UNT

1.前言 北京時間3月15日晚,知道創宇區塊鏈安全實驗室監測到Gnosis鏈上的借貸類協議HundredFinance與Agave均遭遇了閃電貸襲擊.

1900/1/1 0:00:00
World Mobile項目周報(3月21日—3月27日)-ODAILY_ETW

2022年3月21日WorldMobile發起投票,本次投票在所有Cardano原生Token中,WMT獲得最為廣大用戶喜愛的Token.

1900/1/1 0:00:00
美聯儲加息對Crypto有怎樣的影響?-ODAILY_APE

哈嘍大家好,我是DeFiworld的布哥,2ChoicesDAO的出題貢獻者。今天的話題是:美聯儲加息對Crypto有怎樣的影響?這一期內容我會以普通人的視角來講,讓你盡可能的理解我的每一句話.

1900/1/1 0:00:00
ads