黑客能调用,你和我也可以?Starstream被盗1500万美元事件分析_REA:STAR

北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。

黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。

Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。

凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。

数据:自今年年初以来黑客通过跨链桥违窃取了14亿美元:金色财经报道,根据区块链分析公司 Chainalysis 的数据,自今年年初以来,黑客通过跨链桥违窃取了14亿美元。最大的单一事件是从Ronin,达到创纪录的 6.15亿美元。还有3.2亿美元从华尔街高频交易公司Jump Trading支持的加密桥Wormhole 被盗。6月,Harmony 的 Horizo n 桥遭受了 1 亿美元的攻击。上周,黑客在针对Nomad的违规行为中没收了近 2 亿美元。

区块链分析公司Elliptic的联合创始人兼首席科学家Tom Robinson在接受采访时说:区块链桥已成为网络犯罪分子唾手可得的果实,价值数十亿美元的加密资产被锁定在其中。这些桥梁已被黑客以各种方式破坏,这表明他们的安全水平没有跟上他们所持有资产的价值。[2022/8/11 12:18:52]

合约漏洞分析

每周下载数百万次的npm包遭黑客攻击嵌入加密挖矿恶意软件:10月23日消息,美国网络安全和基础设施安全局周五警告说,一个广受欢迎的JavaScript 库(npm 包)遭到黑客攻击并被恶意代码修改,该代码在安装了受感染版本的系统上下载并安装了加密货币挖矿程序。该事件于10月22日星期五被发现。它影响了UAParser.js,这是一个用于读取存储在用户代理字符串中的信息的JavaScript 库。根据其官方网站,该库被Facebook、苹果、亚马逊、微软、Slack、IBM、HPE、戴尔、甲骨文、Mozilla、Shopify、Reddit和许多硅谷公司使用。根据其npm页面,该库每周的下载量也经常在600万到700万之间 。受损版本: 0.7.29、0.8.0、1.0.0。(the record)[2021/10/23 6:09:05]

没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。

动态 | Upbit黑客钱包地址转移了11001枚以太坊至未知钱包地址:据Whale Alert监测显示,北京时间15:46:59,被标记为Upbit黑客钱包地址(0x4d53dad4b开头)转移了1001 枚ETH(价值约148,911美元)至0x519a3b21开头的未知钱包地址。随后在北京时间15:52:48,Upbit这一黑客钱包地址又转移10000枚ETH(价值1490311美元)至该未知钱包地址。[2019/12/3]

在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。

TornadoCash。

其他细节

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻击者地址:

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合约:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。

前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。

作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。

欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-0:609ms