北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
美国参议员:从政策制定的角度来看,拥有比特币与拥有牛没有什么不同:金色财经报道,美国参议员Cynthia Lummis正准备推出负责任的金融创新法案,这将影响加密货币的征税方式。她表示,从政策制定的角度来看,拥有比特币与拥有牛没有什么不同。作为2020年上任的参议员,Lummis 报告称持有价值 50,000 至 100,000 美元的 BTC,2021 年 8 月,她报告额外购买了价值 50,000 至 100,000 美元的 BTC。她没有从出售资产中获得任何收入。(decrypt)[2022/4/2 13:59:51]
合约漏洞分析
火币尖峰对话|今天,我们为什么要讨论DeFi?:7月30日,由金色财经作为独家战略媒体支持的火币尖峰对话DeFi系列首场AMA将于15:00线上开启。
此次对话以“今天,我们为什么要谈论DeFi?”为主题,金色财经合伙人佟扬将与火币去中心化事业部运营负责人高潮深度探讨DeFi发展的那些事,为行业从业者呈现真实的DeFi发展图景。
更多详情见原文链接查看。[2020/7/30]
没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
声音 | Nigel Green:加密货币市场的波动与其他金融市场没什么不同:deVere Group首席执行官兼创始人Nigel Green表示:“所有金融市场都有高峰和低谷,加密货币市场没有、也不应该有任何不同,每当市场下跌或加密货币出现一轮波动时,那些讨厌加密货币的人就会宣称数字货币完蛋了——结果它们又经历了一轮上涨。在大多数其他金融市场,这些人不会做出如此极端和毫无根据的声明。”(彭博社)[2019/11/28]
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
TornadoCash。
其他细节
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
标签:REASTARSSTARSTAvirtualrealitychainSTARSHIPDOGE价格LSTAR价格Statter Network
TorewardthesupportofP2Pusersonourplatform,theGate.ioteamhasprepareda50.
许多人认为,NFT只是出于虚荣的原因,被当作个人资料图片或展示在虚拟艺术画廊里。然而一些NFTs也可以带有某种特定作用,并赋予持有者特殊权利.
尊敬的用户: ?? BKEXGlobal举办的"NVIR充值福利"活动已于2022年3月7日12:00圆满结束,感谢用户的大力支持!活动奖励将于5个工作日内发放,请留意账户余额变动.
</article><divclass="news_detail_footer-qjnu"><divclass="detail_top-qjnu"><p>本文来源于非.
關於Gate.ioStartup免費空投計劃爲回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.
尊敬的用户:?????????BKEX即将上线LFT,详情如下:上线交易对:LFT/USDT??币种类型:ERC20充值功能开放时间:已开放交易功能开放时间:2022年4月5日20:00提现功能.
链资讯