STEP:黑客能调用,你和我也可以?Starstream被盗1500万美元事件分析_REAL PEPE CEO

北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。

黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。

Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。

时间线

北京时间4月8日凌晨02:47,一位用户担心Starstream的风险,于是在推特上发布了相关截图。随后,凌晨03:11,有人在StarstreamDiscord社群宣布资金库已被耗尽,并建议用户们尽快将自己的资产于Agora中提出。

报告:到目前为止,朝鲜黑客已窃取高达10亿美元的加密货币:4月7日消息,根据美国国家安全委员会的一份2022年年度报告,朝鲜黑客窃取的虚拟资产从6.3亿美元到10亿多美元不等,这一数字是2021年被盗金额的两倍。该小组在报告中指出:“朝鲜利用日益复杂的网络技术进入涉及网络金融的数字网络,并窃取有潜在价值的信息,包括其武器计划。”

虽然加密黑客有时可以被追踪,这取决于黑客是否留下犯罪踪迹,但根据该报告,基本的加密货币和区块链特性使追踪变得更加困难。该报告补充说:“非法获得的虚拟资产受到区块链的匿名性和通过加密货币交易所混淆资产通道的保护。”

报告最后还鼓励成员国遵守FATF的指导方针,以遏制被盗加密货币资金不断增长。(Bitcoinist)[2023/4/8 13:50:56]

凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。

Duet Protocol核心成员:已接近掌握黑客的身份信息,警告其归还资金:8月9日消息,多链合成资产协议Duet Protocol核心成员BachOnChain警告黑客,通过团队的努力,收集到了他的大量链上历史交易和链下密码活动。此外,团队已接近掌握黑客在FTX账户的身份信息。BachOnChain紧急警告黑客归还属于Zerogoki社区的资金。此外,BachOnChain表示,团队决定悬赏10000美元给任何最终能帮助团队找到这个黑客的用户。最后,BachOnChain表示,团队将很快使用更多的资金库资金来恢复挂钩,已经投资超20万美元来稳定zUSD。[2021/8/9 1:42:58]

攻击流程

Polkatrain:此次黑客事件系市场科学家利用类似滑点问题恶意攻击:据官方最新消息,Polkatrain团队已经查明并核实,此次黑客事件是一起针对POLT项目的黑客利用类似滑点问题恶意攻击行为,并非之前慢雾、币世界、金色财经等声称的所谓薅羊毛事故(通过调用swap函数薅取返佣奖励),对于这些不实言论,Polkatrain团队将保留自己的追究权利。在社区的共同努力下,关于黑客盗取约5万个DOT的事件(项目方近4万个DOT,用户近1万个DOT),Polkatrain目前已经有重大进展,后续将持续跟踪此事情。[2021/4/6 19:50:46]

攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数,可以被任何人调用,因此攻击者顺利将STARS代币从Starstream转移到自己账户。

Nice Hash已全额补偿受2017年黑客事件影响的用户:12月17日消息,矿机和算力租赁平台Nice Hash已经全额补偿在2017年末安全漏洞事件中所有受影响的用户,当时损失达4640枚比特币。NiceHash首席执行官Martin Skorjanc在周四发布的一封信中表示,“过去三年来,公司定期放弃利润,但我们不后悔,因为这预示着我们将进入一个新的增长和发展时代。”(CoinDesk)[2020/12/17 15:35:18]

合约漏洞分析

此次漏洞发生的根本原因是:Distributorytreasury合约中的execute函数没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。

在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。

资产追踪

据CertiKSkyTrace显示,4月8日凌晨5点,黑客已顺利将所盗资金转移至TornadoCash。

其他细节

漏洞交易:

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻击者地址:

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合约:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

写在最后

此次事件可通过安全审计发现相关风险。通过审计,可以查出这个函数是所有人都可以调用的,并且是一个底层调用。在此,CertiK的安全专家建议:

在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。

前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。

作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:0ms0-3:781ms