北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
时间线
北京时间4月8日凌晨02:47,一位用户担心Starstream的风险,于是在推特上发布了相关截图。随后,凌晨03:11,有人在StarstreamDiscord社群宣布资金库已被耗尽,并建议用户们尽快将自己的资产于Agora中提出。
SuperRare创始人:SuperRare平台不会取消NFT版税:2月28日消息,SuperRare创始人Jonathan Perkins在NFT巴黎会议期间表示,向创作者付费的决定早在五年前就已做出。他表示,“当时我们采取了一个相当有争议的举措,将艺术家版税包括在内。如果我们可以通过版税帮助艺术家赚钱,为什么不至少尝试一下呢?因此,我们在建立某种标准方面发挥了一定作用,至少在艺术方面。SuperRare的版税不会消失。”
SuperRare是面向艺术创作者和NFT收藏者的社交网络。Perkins认为,更广泛的市场面临的挑战与该平台面临的挑战大不相同,因为SuperRare上的收藏者通常不进行高频交易或试图快速赚钱。“我们花了五年时间建立了一个社区,让收藏者真正与艺术家建立联系,而且有更多的善意和长远眼光,这往往会使人们更容易就保留版税达成共识。”(Decrypt)[2023/2/28 12:33:53]
跨链预言机解决方案SupraOracles与数字运动鞋交易平台Another-1达成合作:金色财经消息,跨链预言机解决方案SupraOracles宣布与Another-1达成合作,后者是一个数字资产和运动鞋行业所有权平台。
据介绍,Another-1是第一个基于Cosmos SDK的实体和数字产品交易平台,其代币经济学设计用于奖励持有者和质押者,帮助运动鞋迷获得限量版商品。此外,它将通过区块链技术优化交易时间和认证流程。[2022/4/9 14:14:40]
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
Coinbase Pro将上线POLS、FOX、SPELL、SUPER、IDEX、COVAL、MCO2等币种:12月7日消息,Coinbase Pro将上线CircuitsofValue(COVAL)、IDEX(IDEX)、MossCarbonCredit(MCO2)、Polkastarter(POLS)、ShapeShiftFOXToken(FOX)、SpellToken(SPELL)和SuperFarm(SUPER),如果满足流动性条件,交易将于12月7日太平洋时间(PT)上午9点或之后开始。[2021/12/7 12:55:39]
攻击流程
攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数,可以被任何人调用,因此攻击者顺利将STARS代币从Starstream转移到自己账户。
泰国医院和公司遭黑客袭击并索要比特币赎金:金色财经报道,泰国表示,泰国的医院和公司遭到黑客攻击,黑客挟持了计算机系统和数据,并要求支付比特币以恢复信息。其中,9月5日,Saraburi医院无法访问其数据,攻击者要求获得630亿泰铢(28亿澳元)的比特币来解锁系统。[2020/9/11]
合约漏洞分析
此次漏洞发生的根本原因是:Distributorytreasury合约中的execute函数没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
资产追踪
据CertiKSkyTrace显示,4月8日凌晨5点,黑客已顺利将所盗资金转移至TornadoCash。
其他细节
漏洞交易:
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
写在最后
此次事件可通过安全审计发现相关风险。通过审计,可以查出这个函数是所有人都可以调用的,并且是一个底层调用。
在此,CertiK的安全专家建议:
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
标签:REASTARSTASTRCrypto Realms WarStargram CoinSTAR1Dogestribute
Solidity事件对于智能合约开发者来说是不可或缺的,它允许我们对智能合约中特定变量进行测试,以自动化的方式改变前端等.
北京时间2月24日,俄罗斯总统普京正式宣布于乌克兰顿巴斯地区开展“军事行动”,乌克兰总统随即宣布全国进入战时状态。对,不是吃鸡,不是坦克世界,而是真正的战争.
SupraOracles很高兴地宣布与无缝web3去中心化交易所INT3.FACE建立合作伙伴关系。INT3.FACE是一个用户友好的平台,可让您在次世代金融中进行借贷、质押等.
格林纳达常驻世界贸易组织代表、特命全权大使、波场TRON创始人孙宇晨先生阁下受邀参与的纪录片《AligningTheFuture》中英字幕完整版已正式上线.
什么是杠杆代币? 杠杆代币是指通过运用合约等金融衍生工具,跟踪“复制”相关标的资产的价格表现,并将其放大一定倍数的基金产品。换句话说,杠杆代币就是追踪并放大数倍普通数字资产收益率表现.
2022年3月28日WorldMobile与ERGODEX达成合作,在ERGODEX上线之时,WMT是在上面可以进行交易的第一个Token.