REA:黑客能調用，你和我也可以？Starstream被盜1500萬美元事件分析

北京時間4月8日凌晨01:43:36，CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用，致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約，并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護，由STARS進行維護并治理。

時間線

北京時間4月8日凌晨02:47，一位用戶擔心Starstream的風險，于是在推特上發布了相關截圖。隨后，凌晨03:11，有人在StarstreamDiscord社群宣布資金庫已被耗盡，并建議用戶們盡快將自己的資產于Agora中提出。

波卡平行鏈Astar Network與NTT Digital建立Web3戰略合作伙伴關系:金色財經報道，波卡平行鏈Astar Network背后的Astar基金會宣布與NTT Digital建立Web3戰略合作伙伴關系。本次合作Astar基金會將致力于開發創新產品和創建Web3人才協作社區，并通過與NTT Digital和Astar技術合作增強技術基礎設施使數十億人能夠進入Web3。（cryptopotato）[2023/7/12 10:51:01]

凌晨04:36，另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

Rebase聯合創始人Gagacki指控合作伙伴違反合同:金色財經報道，Rebase的聯合創始人Gagack聲稱，Truong在2022年10月27日違反了一份合作合同。在未經他同意的情況下，他挪用了200萬美元到一個由Truong擁有和控制的獨立錢包。Gagacki聲稱擁有50%的資金份額，并稱Truong拒絕向他提供數字錢包的私鑰。[2023/4/19 14:13:28]

攻擊流程

攻擊者調用合約并調用了Distributortreasury合約中的外部函數`execute()`。由于該函數為外部函數，可以被任何人調用，因此攻擊者順利將STARS代幣從Starstream轉移到自己賬戶。

Aptos 生態錢包 Pontem 公布 Pontemite NFT 白名單地址:金色財經報道，Aptos 生態 DEX 和錢包應用 Pontem Network 發推表示，Pontemite mint-to-earn NFT 的白名單現已上線，隨機選擇了 1,000 個符合條件的地址。前 1,000 個地址有 1 小時鑄造時間，然后是接下來的 1,000 個，依此類推，直到鑄造完所有 NFT。

此前報道，Pontem Network 昨日表示，正在考慮是否有必要發行代幣，以及如果發行代幣，如何將代幣效用與生態系統融為一體。[2022/11/2 12:07:23]

合約漏洞分析

幻核宣布停售數字藏品，用戶可選擇持續持有或退款:金色財經消息，8月16日，騰訊幻核發布公告，表示基于公司聚焦核心戰略的考量將做出業務調整。自2022年8月16日起，幻核將停止數字藏品發行，同時所有通過其平臺購買過數字藏品的用戶可自行選擇繼續持有或發起退款申請。?

幻核于2021年8月2日上線，是市場上為數不多未開放轉贈功能并禁止二級交易炒作的數字藏品平臺。幻核團隊曾對外表示不會開放用戶間的數字藏品轉移，堅決抵制虛擬貨幣相關的違法違規行為。[2022/8/16 12:27:57]

此次漏洞發生的根本原因是：Distributorytreasury合約中的execute函數沒有任何的權限控制，因此可以被任何人調用。這個execute函數其實是一個底層調用，通過這個底層調用，攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

在這次攻擊中，攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

資產追蹤

據CertiKSkyTrace顯示，4月8日凌晨5點，黑客已順利將所盜資金轉移至TornadoCash。

其他細節

漏洞交易：

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

寫在最后

此次事件可通過安全審計發現相關風險。通過審計，可以查出這個函數是所有人都可以調用的，并且是一個底層調用。在此，CertiK的安全專家建議：

在開發過程中，應該注意函數的Visibility。如果函數中有特殊的調用或邏輯，需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑，其根本原因和這次攻擊一樣，都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了3200家企業客戶的認可，保護了超過3110億美元的數字資產免受損失。

Tags：STASTARREASTARSstart幣怎么樣FSTAR幣ADREAMStarship Doge

FIL幣