北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
时间线
北京时间4月8日凌晨02:47,一位用户担心Starstream的风险,于是在推特上发布了相关截图。随后,凌晨03:11,有人在StarstreamDiscord社群宣布资金库已被耗尽,并建议用户们尽快将自己的资产于Agora中提出。
黑客携4亿推特用户数据勒索马斯克:金色财经报道,据快科技消息,一名黑客在暗网上要价20万美元(约139.4万元人民币),出售在2021年利用漏洞(现已修复)搜刮的4亿推特用户数据。
?黑客在帖子中表示,他们利用该漏洞成功收集了超过4亿条推特用户的数据。而且黑客在帖子还嚣张表示,埃隆·马斯克如果想要避免欧洲GDPR法规下的巨额罚款,那么应该购买这些数据。?[2022/12/27 22:10:23]
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
ZachXBT:FTX黑客与FTX团队和巴哈马官方均无关:11月21日消息,链上侦探ZachXBT发推称,FTX黑客与FTX团队和巴哈马官方其实没有关系,“0x59”开头的钱包地址应该属于一个黑帽黑客,在出售ETH、DAI和BNB时使用了非常高的交易滑点,而且在交易时会偶尔使用跨链桥,这与其他从FTX退出并发送到以太坊区块链或波场区块链等链上多重签名的地址行为截然不同。
此外,“0x59”开头的钱包地址将3168 BNB转移到“0x24”开头的钱包地址,这笔交易使用了Laslobit服务,这种行为与有关债务人将资产转移到冷存储,以及巴哈马政府将资产转移到数字资产托管平台Fireblocks的信息完全不同。[2022/11/21 22:11:19]
加密做市商Wintermute在DeFi黑客攻击中损失1.6亿美元:9月20日消息,加密做市商Wintermute创始人Evgeny Gaevoy在社交媒体上发文表示,Wintermute在DeFi黑客攻击中损失1.6亿美元,目前其CeFi和OTC业务不受影响。[2022/9/20 7:08:19]
攻击流程
攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数,可以被任何人调用,因此攻击者顺利将STARS代币从Starstream转移到自己账户。
合约漏洞分析
此次漏洞发生的根本原因是:Distributorytreasury合约中的execute函数没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
网络安全公司:加密勒索软件Thanos正在暗网黑客论坛上推广:金色财经报道,美国网络安全公司Recorded Future 6月10日透露,自2月以来,名为“Thanos”勒索软件不断在多个暗网黑客论坛上推广。该勒索软件允许外部黑客使用勒索软件并攻击他们的目标,使用条件是遵守与开发者的收入分成计划,分成约为60%-70%。据称,该勒索软件允许操作者自定义软件的勒索信,可以修改文本以选择他们想要的任何加密货币,不仅限于比特币。[2020/6/12]
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
资产追踪
据CertiKSkyTrace显示,4月8日凌晨5点,黑客已顺利将所盗资金转移至TornadoCash。
其他细节
漏洞交易:
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
写在最后
此次事件可通过安全审计发现相关风险。通过审计,可以查出这个函数是所有人都可以调用的,并且是一个底层调用。
在此,CertiK的安全专家建议:
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
摘要 「政策动向」: -美国财政部确认,加密矿工、钱包提供商不受国税局税收报告的约束-美国SEC对加密借贷公司BlockFi处以创纪录的1亿美元罚款-俄罗斯经济部提出加密挖矿合法化-Binanc.
“波卡知识图谱”是我们针对波卡从零到一的入门级文章,我们尝试从波卡最基础的部分讲起,为大家提供全方位了解波卡的内容,当然这是一项巨大的工程,也充满了挑战.
背景 2021年回顾 MolochDAO网络/生态系统概述 赠款策略 MolochDAO—未来展望MolochDAO关于ETH生态系统发展的计划 Moloch崛起! 背景-Moloch的故事20.
北京时间2022年3月17日,我们的系统监控到涉及APECoin的可疑交易,根据twitter用户WillSheehan的报告,套利机器人通过闪电贷薅羊毛,拿到6W多APECoin.
前言 新春二月,知道创宇区块链安全实验室拓宽了对区块链安全信息收集总结的信息广度,将专注于典型安全事件的视角,拔升到了对整个区块链安全资讯的审视.
去中心化交易所(DEX)和自动做市商(AMM)最近推出了漩涡池,使协议用户能够访问集中流动性池。不久之后,流行的web3生活方式应用STEPN集成了Orca的池来为它的交易提供动力.
区块见闻