北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
时间线
北京时间4月8日凌晨02:47,一位用户担心Starstream的风险,于是在推特上发布了相关截图。随后,凌晨03:11,有人在StarstreamDiscord社群宣布资金库已被耗尽,并建议用户们尽快将自己的资产于Agora中提出。
Solana生态DEX Cypher遭遇黑客攻击,损失约100万美元加密资产:8月8日消息,Solana生态去中心化交易平台Cypher遭遇黑客攻击,损失约100万美元加密资产。目前,该协议的合约已被冻结,开发者正在尝试与黑客取得联系,以协商退还资金。[2023/8/8 21:31:53]
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
攻击流程
攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数,可以被任何人调用,因此攻击者顺利将STARS代币从Starstream转移到自己账户。
黑客组织REvil宣布拍卖两家美国律所的数据以换取比特币:金色财经报道,黑客组织REvil已在暗网上发起另一次拍卖,列出了其从Fraser Wheeler&Courtney和Vierra Magen Marcus两家美国律师事务盗取的敏感数据。拍卖的信息包括客户信息、公司内部文件、电子信函、专利协议、商业计划和项目,以及尚未申请专利的新技术。根据REvil的说法,Vierra Magen Marcus专门研究知识产权法,该公司的客户包括650多家技术公司和个人,包括华硕、东芝、希捷、日产、LG、硅谷初创公司和“更多大公司”。据悉,Fraser Wheeler & Courtney拍卖清单的起拍价为3万美元,REvil要求该律所在不到一周内支付比特币,否则将公布其数据。据此前报道,REvil于5月25日宣布拍卖麦当娜的资料以换取加密货币。[2020/6/9]
合约漏洞分析
1inch.exchange回应黑客信息“泄露”:系回应要求,我们根据法规要求保护用户数据:此前DEX聚合器1inch.exchange首席执行官Sergej Kunz在接受Cointelegraph采访时表示,近期攻击Lendf.Me的黑客在交易时无意中泄露了有关个人信息的重要元数据,包括其三项交易请求都来自一个中国IP地址。对此,Defi Pulse联合创始人Scott Lewis在推特上评论称,不要就你用户的私人数据接受Cointelegraph记者的采访。如果你把用户的隐私看得那么轻,谁知道你还会怎么处理他们的信息呢?DEX聚合器1inch.exchange转发此推文并回应道,我们认为这是DEX.AG针对1inch的公然攻击。鉴于dForce因黑客入侵损失2500万美元,我们响应了新加坡的要求。我们在根据法规要求保护用户数据。据悉,DEX.AG同为DEX聚合器,Scott Lewis亦参与了该项目。注:攻击Lendf.Me的黑客曾通过1inch.exchange、ParaSwap、Tokenlon等DEX平台将盗取的币兑换成ETH及其他代币。链上数据显示,黑客正在向Lendf.Me地址归还大量代币,被盗资产几乎已全部追回。[2020/4/21]
此次漏洞发生的根本原因是:Distributorytreasury合约中的execute函数没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
统计数据显示:2018年第一季加密货币市场因黑客攻击损失6.7亿美元:根据CryptoAware的统计,2018年第一季度加密货币因黑客攻击而损失了6.7亿美元。这一数字在第二季度已上升至11亿美元。[2018/6/13]
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
资产追踪
据CertiKSkyTrace显示,4月8日凌晨5点,黑客已顺利将所盗资金转移至TornadoCash。
其他细节
漏洞交易:
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
写在最后
此次事件可通过安全审计发现相关风险。通过审计,可以查出这个函数是所有人都可以调用的,并且是一个底层调用。在此,CertiK的安全专家建议:
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
标签:INGNothingUCKBABYFIKINGNothing TokenLucky ShinuBABYFLOKICOIN价格
对于大多数搜索者来说,谷歌搜索如今是相当令人沮丧的。谷歌很擅长回答有客观答案的问题,如"世界上有多少亿万富翁"或"冰岛的人口是多少"?它在回答需要结合背景判断的问题方面相当糟糕,比如"NFT收藏.
一、简介 StepN是一款使用运动鞋NFT通过运动赚取收益的区块链游戏,首次在Web3的世界开创了Move-to-Earn这个概念.
随着DAO的兴起,meme币迎来了新的浪潮,然而,meme代币的增发和数量一度成为限制meme币进一步发展的关卡.
比特币的价格可能正在跌破4万美元,但最新数据显示,主要投资者的需求丝毫没有下降。链上分析平台CryptoQuant的首席执行官KiYoungJu认为,机构购买比特币可能再次成为加密领域的“大叙事.
Covington&BurlingLLP律师建议保险业如何应对虚拟世界中的商业肯定会产生的独特风险.
随着去年如火如荼的GameFi大潮熄火后,硕果仅存的星鲨等项目也跌落神坛。Axie,Mobox等各个头部项目也纷纷更改经济模型,产出机制.