ING:黑客能调用，你和我也可以？Starstream被盗1500万美元事件分析_BAB

北京时间4月8日凌晨01:43:36，CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用，致使约1500万美元的资产受到损失。

黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约，并向其借入了包括Metis、WETH和m.USDC在内的多种资产。

Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护，由STARS进行维护并治理。

时间线

北京时间4月8日凌晨02:47，一位用户担心Starstream的风险，于是在推特上发布了相关截图。随后，凌晨03:11，有人在StarstreamDiscord社群宣布资金库已被耗尽，并建议用户们尽快将自己的资产于Agora中提出。

Solana生态DEX Cypher遭遇黑客攻击，损失约100万美元加密资产:8月8日消息，Solana生态去中心化交易平台Cypher遭遇黑客攻击，损失约100万美元加密资产。目前，该协议的合约已被冻结，开发者正在尝试与黑客取得联系，以协商退还资金。[2023/8/8 21:31:53]

凌晨04:36，另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。

攻击流程

攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数，可以被任何人调用，因此攻击者顺利将STARS代币从Starstream转移到自己账户。

黑客组织REvil宣布拍卖两家美国律所的数据以换取比特币:金色财经报道，黑客组织REvil已在暗网上发起另一次拍卖，列出了其从Fraser Wheeler＆Courtney和Vierra Magen Marcus两家美国律师事务盗取的敏感数据。拍卖的信息包括客户信息、公司内部文件、电子信函、专利协议、商业计划和项目，以及尚未申请专利的新技术。根据REvil的说法，Vierra Magen Marcus专门研究知识产权法，该公司的客户包括650多家技术公司和个人，包括华硕、东芝、希捷、日产、LG、硅谷初创公司和“更多大公司”。据悉，Fraser Wheeler & Courtney拍卖清单的起拍价为3万美元，REvil要求该律所在不到一周内支付比特币，否则将公布其数据。据此前报道，REvil于5月25日宣布拍卖麦当娜的资料以换取加密货币。[2020/6/9]

合约漏洞分析

1inch.exchange回应黑客信息“泄露”：系回应要求，我们根据法规要求保护用户数据:此前DEX聚合器1inch.exchange首席执行官Sergej Kunz在接受Cointelegraph采访时表示，近期攻击Lendf.Me的黑客在交易时无意中泄露了有关个人信息的重要元数据，包括其三项交易请求都来自一个中国IP地址。对此，Defi Pulse联合创始人Scott Lewis在推特上评论称，不要就你用户的私人数据接受Cointelegraph记者的采访。如果你把用户的隐私看得那么轻，谁知道你还会怎么处理他们的信息呢？DEX聚合器1inch.exchange转发此推文并回应道，我们认为这是DEX.AG针对1inch的公然攻击。鉴于dForce因黑客入侵损失2500万美元，我们响应了新加坡的要求。我们在根据法规要求保护用户数据。据悉，DEX.AG同为DEX聚合器，Scott Lewis亦参与了该项目。注：攻击Lendf.Me的黑客曾通过1inch.exchange、ParaSwap、Tokenlon等DEX平台将盗取的币兑换成ETH及其他代币。链上数据显示，黑客正在向Lendf.Me地址归还大量代币，被盗资产几乎已全部追回。[2020/4/21]

此次漏洞发生的根本原因是：Distributorytreasury合约中的execute函数没有任何的权限控制，因此可以被任何人调用。这个execute函数其实是一个底层调用，通过这个底层调用，攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。

统计数据显示：2018年第一季加密货币市场因黑客攻击损失6.7亿美元:根据CryptoAware的统计，2018年第一季度加密货币因黑客攻击而损失了6.7亿美元。这一数字在第二季度已上升至11亿美元。[2018/6/13]

在这次攻击中，攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。

资产追踪

据CertiKSkyTrace显示，4月8日凌晨5点，黑客已顺利将所盗资金转移至TornadoCash。

其他细节

漏洞交易：

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻击者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合约:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

写在最后

此次事件可通过安全审计发现相关风险。通过审计，可以查出这个函数是所有人都可以调用的，并且是一个底层调用。在此，CertiK的安全专家建议：

在开发过程中，应该注意函数的Visibility。如果函数中有特殊的调用或逻辑，需要确认函数是否需要相应的权限控制。

前段时间有大量的项目因publicburn()函数而被黑，其根本原因和这次攻击一样，都是由于缺乏必要的权限控制所导致。

作为区块链安全领域的领军者，CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止，CertiK已获得了3200家企业客户的认可，保护了超过3110亿美元的数字资产免受损失。

标签：INGNothingUCKBABYFIKINGNothing TokenLucky ShinuBABYFLOKICOIN价格

瑞波币热门资讯