NFT:黑客能调用，你和我也可以？Starstream被盗1500万美元事件分析_NFTX

北京时间4月8日凌晨01:43:36，CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用，致使约1500万美元的资产受到损失。

黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约，并向其借入了包括Metis、WETH和m.USDC在内的多种资产。

Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护，由STARS进行维护并治理。

时间线

北京时间4月8日凌晨02:47，一位用户担心Starstream的风险，于是在推特上发布了相关截图。随后，凌晨03:11，有人在StarstreamDiscord社群宣布资金库已被耗尽，并建议用户们尽快将自己的资产于Agora中提出。

PeckShield：NFT借贷平台JPEG'd或遭黑客攻击:7月30日消息，据PeckShield发推称，NFT借贷平台JPEG'd或遭黑客攻击，损失金额达6106枚ETH，JPEG代币短时下跌40%。[2023/7/30 16:07:20]

凌晨04:36，另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。

攻击流程

攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数，可以被任何人调用，因此攻击者顺利将STARS代币从Starstream转移到自己账户。

报告：与2021年相比，2022年加密领域因黑客攻击损失减少61%:金色财经报道，根据SlowMist的一份报告，2022年加密领域因303起与区块链相关的安全事件损失了37.8亿美元，比2021年记录的98亿美元减少了61%。尽管自2020年以来黑客事件的数量一直在稳步增长，但这些攻击造成的总损失在2022年最少。2020年发生了123起黑客事件，损失43.1亿美元，比2022年的37.8亿美元增长了13.9%。

数字显示，这些黑客事件大多发生在DeFi、跨链桥和NFT生态系统中。全年，225起黑客事件袭击了DeFi、跨链桥和NFT生态，这占所有黑客攻击的84%以上。加密钱包以11起黑客攻击排名第二，而交易所以10起黑客攻击事件排名第三。[2023/1/10 11:03:15]

合约漏洞分析

韩国金融服务委员会称其对朝鲜黑客窃取加密货币不负责:韩国金融服务委员会(FSC)在回复国民议会事务委员会的书面质询时表示，他们对由朝鲜政权支持的黑客在加密交易所平台上发起的攻击中窃取的加密货币不负责。根据这份报告，该监管机构辩称，加密交易所不属于他们的管辖范围，但没有提供有关此事的更多细节。他们把责任转交给韩国外交部和韩国通信委员会(KCC)。但是，外交部和韩国通信委员会都认为，FSC仍然要对加密公司遭受的任何损失负责，因为这些都与金融有关。这两个机构指出，FSC的职务是“负责管理和监督虚拟资产提供商”。(Fn News)[2020/10/24]

此次漏洞发生的根本原因是：Distributorytreasury合约中的execute函数没有任何的权限控制，因此可以被任何人调用。这个execute函数其实是一个底层调用，通过这个底层调用，攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。

动态 | Algo Capital CTO电话遭到黑客入侵 Algo热钱包内加密货币被盗:据CoinDesk 10月5日消息，专注于Algorand区块链的投资公司Algo Capital周五向其有限合伙人报告说，其首席技术官Pablo Yabo的手机受到了攻击，这使攻击者可以控制Yabo管理的Algo热钱包，损失了数百万美元的USDT和ALGO代币。[2019/10/6]

在这次攻击中，攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。

资产追踪

据CertiKSkyTrace显示，4月8日凌晨5点，黑客已顺利将所盗资金转移至TornadoCash。

其他细节

漏洞交易：

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻击者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合约:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

写在最后

此次事件可通过安全审计发现相关风险。通过审计，可以查出这个函数是所有人都可以调用的，并且是一个底层调用。在此，CertiK的安全专家建议：

在开发过程中，应该注意函数的Visibility。如果函数中有特殊的调用或逻辑，需要确认函数是否需要相应的权限控制。

前段时间有大量的项目因publicburn()函数而被黑，其根本原因和这次攻击一样，都是由于缺乏必要的权限控制所导致。

作为区块链安全领域的领军者，CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止，CertiK已获得了3200家企业客户的认可，保护了超过3110亿美元的数字资产免受损失。

标签：NFTREASTRSTANFTXvirtualrealitychainStrongHands Financestader币最新消息

BNB热门资讯