北京時間4月8日凌晨01:43:36,CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用,致使約1500萬美元的資產受到損失。
黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約,并向其借入了包括Metis、WETH和m.USDC在內的多種資產。
Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護,由STARS進行維護并治理。
時間線
北京時間4月8日凌晨02:47,一位用戶擔心Starstream的風險,于是在推特上發布了相關截圖。隨后,凌晨03:11,有人在StarstreamDiscord社群宣布資金庫已被耗盡,并建議用戶們盡快將自己的資產于Agora中提出。
Angle Protocol:受黑客攻擊影響的USDC約1752萬美元,DAO仍持有近2000萬美元代幣:3月15日消息,去中心化穩定幣協議 Angle Protocol 已根據鏈上信息準備 Euler Finance 黑客攻擊事件后協議的詳細概述,其中受影響的 USDC 約為 1752 萬美元,目前 DAO 所持有的代幣總價值(包含 agEUR)約 1959 萬美元,團隊正在密切監視情況并與當局合作,提供所能提供的一切幫助來調查黑客攻擊,將在收到更新后立即分享。[2023/3/15 13:05:57]
凌晨04:36,另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。
BitKeep:用戶資金被盜疑似因下載了被黑客劫持的APK版本:12月26日消息,Web3多鏈錢包BitKeep發布公告稱,經過團隊初步排查,疑似部分APK包下載被黑客劫持,安裝了被黑客植入代碼的包。如用戶資金出現被盜情況,用戶下載或者更新的應用或許是被劫持的不明版本(非官方發布版本)。現在出于用戶資金安全的謹慎考慮,如用戶下載的是APK版本,請將資金轉移至其他官方商店(App Store或Google Play)下載的錢包中。此外,建議使用新創建的錢包地址,用戶通過APK創建的地址或有可能泄漏給了黑客。BitKeep發布提示稱:“如條件允許,請務必使用蘋果或谷歌官方商店下載和使用BitKeep錢包,以確保您的資產安全。”
金色財經此前報道,多名用戶在其官方Telegarm群中稱其資金被盜,BitKeep團隊稱如因平臺原因導致的資產損失,BitKeep安全基金將進行全額賠付。[2022/12/26 22:07:50]
比特幣黃金遭黑客攻擊:可能損失1800萬美元:據新浪科技報道,比特幣黃金的開發團隊近期公布了上周比特幣黃金遭遇攻擊的詳情:攻擊者是通過獲得了網絡算力的大部分控制權,利用這些算力重組了比特幣黃金的區塊鏈,并進行反向交易,從而竊取了數字貨幣交易所中的資金。如果所有交易中的資金都被盜取,那么攻擊者可以從中獲利1800萬美元。同時,項目開發者表示,比特幣黃金已計劃遷移至能夠大幅提升網絡安全的新算法。[2018/5/28]
攻擊流程
攻擊者調用合約并調用了Distributortreasury合約中的外部函數`execute()`。由于該函數為外部函數,可以被任何人調用,因此攻擊者順利將STARS代幣從Starstream轉移到自己賬戶。
合約漏洞分析
此次漏洞發生的根本原因是:Distributorytreasury合約中的execute函數沒有任何的權限控制,因此可以被任何人調用。這個execute函數其實是一個底層調用,通過這個底層調用,攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。
黑客獲得比特幣黃金(BTG)錢包的Github存儲庫訪問權限 :據了解,BTG發送了一個重要警告,稱部分Windows版本的Github中存在一個可疑的原始文件。BTG警告用戶:“除非我們了解這個文件的作用,否則所有的用戶都應該假定這個文件是惡意的,可以竊取加密貨幣和/或用戶信息。雖然該文件不會觸發反病/反惡意軟件軟件,但不要認為該文件是安全的。”[2017/11/27]
在這次攻擊中,攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。
資產追蹤
據CertiKSkyTrace顯示,4月8日凌晨5點,黑客已順利將所盜資金轉移至TornadoCash。
其他細節
漏洞交易:
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻擊者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合約:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
寫在最后
此次事件可通過安全審計發現相關風險。通過審計,可以查出這個函數是所有人都可以調用的,并且是一個底層調用。
在此,CertiK的安全專家建議:
在開發過程中,應該注意函數的Visibility。如果函數中有特殊的調用或邏輯,需要確認函數是否需要相應的權限控制。
前段時間有大量的項目因publicburn()函數而被黑,其根本原因和這次攻擊一樣,都是由于缺乏必要的權限控制所導致。
作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。
歡迎點擊CertiK公眾號底部對話框,留言免費獲取咨詢及報價!
Tags:REASTARSTARSSTAREALNANCEstart幣最新消息WinStarsstarlink幣銷毀機制
SupraOracles正在與受資本保護的收益農場SingleFinance合作。SingleFinance是一個可最大限度地減少市場相關性的用戶友好的DeFi投資平臺.
1900/1/1 0:00:00Jan.2022,Sabrina@footprint.networkDataSource:FootprintAnalytics目前AssangeDAO是JuiceBox歷史上最大的DAO.
1900/1/1 0:00:00摘要 「政策動向」: -美國財政部確認,加密礦工、錢包提供商不受國稅局稅收報告的約束-美國SEC對加密借貸公司BlockFi處以創紀錄的1億美元罰款-俄羅斯經濟部提出加密挖礦合法化-Binanc.
1900/1/1 0:00:00本周摘要: -隨著BAYCMetaverse的宣布和Moonbirds的持續升溫,NFT市場繼續上漲.
1900/1/1 0:00:00前言 CF代幣合約被發現存在漏洞,它允許任何人轉移他人的CF余額。到目前為止,損失約為190萬美元,而pancakeswap上CF/USDT交易對已經受到影響.
1900/1/1 0:00:00據官方消息,Mirana已成為波場聯合儲備的第五位成員和白名單機構,獲得鑄造波場去中心化算法穩定幣USDD的權利.
1900/1/1 0:00:00