北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
时间线
北京时间4月8日凌晨02:47,一位用户担心Starstream的风险,于是在推特上发布了相关截图。随后,凌晨03:11,有人在StarstreamDiscord社群宣布资金库已被耗尽,并建议用户们尽快将自己的资产于Agora中提出。
掌柜调查署 | AAX交易所CEO:数字货币市场的发展会与传统金融二级市场保持一致:在今日举行的掌柜调查署中,针对“为什么合约市场成为交易所必争之地”的问题,AAX交易所CEO Thor Chan表示,其实加密市场其实就是一直在向相对成熟的传统金融市场学习,如市场上的各类交易、期货、期权等等。长远来说,数字货币市场的发展会与传统金融市场的二级市场保持一致,很多衍生品慢慢都会基于数字货币衍生出来。有更多的交易所进入这个赛道,也是证明了这个赛道的发展潜力。衍生品交易的发展越到后面越考验交易所底层架构的实力。合约交易其实对团队的技术要求还是挺高的,撮合性能、扩展性、稳定性、API接口的限速以及数字资产安全性等都是需要交易平台深耕技术问题。所以从技术和撮合引擎的角度来讲,AAX具有很大的优势,可以提供低时延、高承载量的稳定的交易环境。我们认为资产数字化是大势所趋。从更长远的角度看,我们希望未来所有的资产都会数字化,都能在AAX平台上交易。[2020/4/14]
猎人资本战略投资AAX交易所平台通证AAB:4月10日,猎人资本宣布已战略投资AAX交易所平台通证AAB。猎人资本是区块链投资投行机构,主要从事区块链创新项目投资、咨询、创新区块链业务等。AAX是由伦敦证券交易所技术驱动的数字资产交易平台。AAX交易所近期公布了其平台通证AAB即将发布的消息,采用100%合约收入每日回购和销毁模式,并宣布已与红链资本、资管网、LinkVC、共识实验室、科银资本、TokenInsight和创世资本等多家机构达成了战略投资、合作关系。[2020/4/10]
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
声音 | AAX CEO:在加密货币领域未来能够看到一些融合与创新:金色财经讯,伦敦时间11月27日晚,中国时间28日凌晨,伦敦证券交易所举办的官方发布会上,AAX CEO Thor Chan表示,在加密货币领域未来能够看到一些融合与创新,并且能够看到加密市场增长的潜在增长空间。目前AAX已在马耳他金融服务管理局(MFSA)注册,并且正寻求在全球更多司法管辖区注册。AAX的机构客户分为几大类:首先是一些被称为加密专家的相对早期的入场者,他们有着占主导地位的加密货币投资组合,同时可能在传统金融市场也非常有经验;另外一些他们机构专注于传统金融市场,他们或正处在建立加密货币交易平台的阶段,或已有加密货币交易平台。AAX将在后续透露更多信息。[2019/11/28]
攻击流程
攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数,可以被任何人调用,因此攻击者顺利将STARS代币从Starstream转移到自己账户。
直播|陆遥远 :普通用户如何参与DeFi获得高额收益:金色财经 · 直播主办的金点Trend《2020 DeFi Dai飞吗?》马上开始!DeFi生态里,我们还应该狙击哪些项目?成长空间是多少?应该关注哪些风险?11:00准时开播!本场嘉宾来自老陆的区块链笔记的作者/ 麦子钱包PM陆遥远分享“普通用户如何参与DeFi获得高额收益”,请扫码移步收听![2020/7/31]
合约漏洞分析
此次漏洞发生的根本原因是:Distributorytreasury合约中的execute函数没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
资产追踪
据CertiKSkyTrace显示,4月8日凌晨5点,黑客已顺利将所盗资金转移至TornadoCash。
其他细节
漏洞交易:
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
写在最后
此次事件可通过安全审计发现相关风险。通过审计,可以查出这个函数是所有人都可以调用的,并且是一个底层调用。
在此,CertiK的安全专家建议:
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。