比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

黑客能調用,你和我也可以?Starstream被盜1500萬美元事件分析_REA

Author:

Time:1900/1/1 0:00:00

北京時間4月8日凌晨01:43:36,CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用,致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約,并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護,由STARS進行維護并治理。

凌晨04:36,另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

美國司法部對FTX黑客攻擊事件展開刑事調查:金色財經報道,據消息人士透露,美國司法部(DOJ)已對FTX黑客攻擊事件展開刑事調查。據悉該調查與前FTX首席執行官SBF的欺詐案是分開的,當局已經凍結了部分被盜資金。區塊鏈專家認為,多條線索表明這是內部作案,包括黑客同時入侵FTX和FTX US網站、訪問多個冷錢包以及使用個人Kraken賬戶提取至少一筆交易的gas費用。

金色財經此前報道,在FTX申請破產的當天晚上,該交易所遭遇黑客攻擊,黑客從FTX熱錢包里竊取超過4.5億美元資產。(彭博社)[2022/12/28 22:11:41]

合約漏洞分析

黑客在暗網售賣25萬個MySQL數據庫,單個價格為0.03枚BTC:PeckShield發微博稱,目前,暗網上有逾25萬個MySQL數據庫正在出售,每個數據庫的價格為0.03枚BTC。自今年10月初起,黑客竊取MySQL數據庫的頻率驟增,他們下載表格,刪除原始文檔,并留下贖金記錄,告訴服務器所有者與其聯系以取回他們的數據。據派盾CoinHolmes追蹤顯示,自11月起,黑客的錢包共入賬0.075枚BTC。[2020/12/11 14:56:10]

沒有任何的權限控制,因此可以被任何人調用。這個execute函數其實是一個底層調用,通過這個底層調用,攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

分析 | 不排除黑客買票成為BP轉移凍結資金的可能:PeckShield安全人員進一步對gm3*****enes賬號資金流向進行追蹤發現,該賬號上的209萬個EOS尚未流向交易所,黑客通過memo發送類交易所錢包推廣信息并以“newdexmobapp”假冒Newdex交易所賬號進行障眼,目前正在向多個不同的小號進行轉賬分散資金,以逃離追蹤。我們注意到超級節點games.eos于昨晚20:46剛剛成為BP節點,并開始出塊,且該節點于前天(2月21日)由se4*****rkcg和izc*****3sqe 兩個賬號投票6,738,536票新晉為BP,存在被操控嫌疑,不排除該節點正是由黑客主動買票上線的,目的就是為了轉移被凍結資金。PeckShield正持續對相關的賬號進行追蹤排查,并及時跟進資金流向動態,第一時間和相關交易所聯系以追堵封鎖資金。[2019/2/22]

在這次攻擊中,攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

TornadoCash。

其他細節

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址:

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

在開發過程中,應該注意函數的Visibility。如果函數中有特殊的調用或邏輯,需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑,其根本原因和這次攻擊一樣,都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。

歡迎點擊CertiK公眾號底部對話框,留言免費獲取咨詢及報價!

Tags:REASTARSSTASTARscream幣發行量StarSharks SEAVesta FinanceSTARLINKDOGE

萊特幣最新價格
BitWell不會履行韓國財政部要求對俄羅斯的加密制裁措施_BITW

近日,韓國加入美國和歐盟的行列,禁止與俄羅斯央行和國家財富基金的交易,針對俄羅斯進行加碼制裁。目前,韓國當局已決定凍結俄羅斯央行持有的任何韓元資產.

1900/1/1 0:00:00
DeFi季度回顧:Terra、Cronos等逆勢增長,Anchor TVL超越Aave成為借貸龍頭_FIN

DeFi結束了通過分叉的形式粗獷地向其它智能合約平臺擴張的發展階段,大多數新出現的智能合約平臺在短暫的流動性挖礦熱潮之后被用戶所拋棄.

1900/1/1 0:00:00
ZT創新板即將上線METAL_TAL

親愛的ZT用戶: ZT創新板即將上線METAL,並開啟METAL/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年4月11日18:00; METAL 項目簡介:DrunkRo.

1900/1/1 0:00:00
我要如何操作OTC365充幣進平臺?_ASS

尊敬的唯客用戶您好! </article><divclass="news_detail_footer-kxfx"><divclass="detail_top-kxfx"><.

1900/1/1 0:00:00
XT.COM關於恢復CSPR充提的公告_COM

尊敬的XT.COM用戶:CSPR錢包升級維護已完成,XT.COM現已恢復CSPR充提業務。給您帶來的不便,請您諒解!游戲平臺和發行商Xterio將推出NFT市場:金色財經報道,游戲平臺和發行商X.

1900/1/1 0:00:00
關於進行多網絡錢包維護的公告 - 2022-04-14_ORK

親愛的用戶: 為了給用戶提供更好的錢包服務,幣安將於2022年04月14日13:30對以下網絡錢包進行維護,預計需要3小時.

1900/1/1 0:00:00
ads