北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
Chainlink线上黑客马拉松正式启动:官方消息,2021年春季Chainlink线上黑客松的注册现已开放。为了加速智能合约生态中的持续创新浪潮,春季黑客松将为全球的开发者提供一个与其他社区成员合作的机会,并能通过此机会向该领域中的顶级项目和工程师学习,使用Chainlink预言机网络构建下一代dApps,同时还有机会从超过8万美元的奖池中赢得奖励。
2021年春季黑客松面向这些准备启动新的项目,并使用被业界广泛采用的Chainlink预言机解决方案将其合约连接到现实世界的数据和系统的各类经验水平的智能合约开发者们。
全球线上黑客松将于2021年3月15日至4月11日举行,且免费参加。[2021/3/1 18:03:28]
合约漏洞分析
声音 | 赵长鹏回应网友:黑客攻击技巧很可能首先在币安尝试并被成功阻止:有推特网友转发关于Coinbase曾在5月成功阻止一次黑客攻击的推文并让币安“记笔记”。对此,赵长鹏回应称:记下了。每笔交易每天都伴随多次黑客攻击企图。FireFox的问题同样适用于所有交易所。您还可以非常肯定地说,如果有黑客攻击技巧在任何交易所上进行尝试,它很可能首先在币安进行并已经被阻止了。[2019/8/10]
没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
动态 | 韩国黑客接连袭击交易所致保险业区块链业保险态度消极:接连发生的韩国交易所遭到黑客袭击事件,甚至影响到了韩国区块链行业的保险业务。为了防止万一,众多虚拟货币交易所加入的韩国区块链协会一直在努力引进保险业的承保。对于当初承保的保险公司来说,参与区块链行业的保险业务可能会成为商机,但在见证了虚拟货币交易的不稳定事件后,保险公司纷纷持消极观望态度。[2018/6/29]
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
TornadoCash。
其他细节
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
DOGE价格实时数据 今天的实时狗狗币价格为0.157905美元,24小时交易量为2,229,130?,873美元。我们将DOGE实时更新为美元价格。狗狗币在过去24小时内上涨了4.50%.
本文经授权转载自Amber?Group。金融的支柱。自动化做市商允许用户全天候交易资产、创建新市场并赚取收益,并且无需中心化实体的参与。自推出以来,自动化做市商的交易量已超过1800亿美元.
「每周编辑精选」是Odaily星球日报的一档“功能性”栏目。星球日报在每周覆盖大量即时资讯的基础上,也会发布许多优质的深度分析内容,但它们也许会藏在信息流和热点新闻中,与你擦肩而过.
TothanktheKOLswhohavecooperatedandaccompaniedGate.iointhepast.
DearValuedUsers,HuobiGlobalwillbeopeningCEEK(CeekVR)?spottrading(CEEK/USDT)at14:00(UTC)onApr8.Dig.
亲爱的用户: 为回馈广大用户,BKEX现开展"ASTO充值福利"活动详情如下: 一、活动时间 2022年4月8日10:00-4月12日10:00以太坊核心开发者会议:讨论EIP-4844和L2.
区块见闻