北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
ETHGlobal Paris 2023黑客松公布胜选项目名单:金色财经报道,ETHGlobal Paris 2023黑客松公布胜选项目名单,其中入围的项目有:Bubbles、ZK Microphone、GLSwaps、TwitterCampalgn、TyphoonCashX、Kinetex Light Clients、Harpos、Stake Garden、Cypher Deposit、Bob the Solver、VoiceSense、Community-bound、On-chain messaging aggregator。[2023/7/24 15:54:23]
合约漏洞分析
Web3支付基础设施Depay因检测到黑客攻击而暂停加密服务:金色财经报道,Web3支付基础设施Depay在官网宣布,检测到黑客尝试攻击其提币服务,已暂停加密货币相关的服务。用户的资产没有任何损失,团队将在修复漏洞后重新开放提币服务。
据悉,Depay是ChatGPT的支付渠道之一,允许用户使用visa、万事达卡、加密货币等支付费用。[2023/4/4 13:44:14]
没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
安全团队:针对Wintermute损失1.6亿美元黑客事件,建议项目方移除相关地址管理权限:金色财经报道,2022年9月20日,据Beosin EagleEye监测显示,Wintermute在DeFi黑客攻击中损失1.6亿美元,Beosin 安全团队发现,攻击者频繁的利用0x0000000fe6a...地址调用0x00000000ae34...合约的0x178979ae函数向0x0248地址(攻击者合约)转账,通过反编译合约,发现调用0x178979ae函数需要权限校验,通过函数查询,确认0x0000000fe6a地址拥有setCommonAdmin权限,并且该地址在攻击之前和该合约有正常的交互,那么可以确认0x0000000fe6a的私钥被泄露。结合地址特征(0x0000000),疑似项目方使用Profanity工具生成地址。该工具在之前发的文章中,已有安全研究者确认其随机性存在安全缺陷(有暴力破解私钥的风险),导致私钥可能泄漏。
Beosin 安全团队建议:1.项目方移除0x0000000fe6a地址以及其他靓号地址的setCommonAdmin/owner等管理权限,并使用安全的钱包地址替换。2.其他使用Profanity工具生成钱包地址的项目方或者用户,请尽快转移资产。Beosin Trace正在对被盗资金进行分析追踪。[2022/9/20 7:08:40]
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
TornadoCash。
其他细节
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
标签:REASTASTARSTARSBREAST币iht-real-estate-protocolstarl币行情AllStars Digital
TorewardthesupportofP2Pusersonourplatform,theGate.ioteamhasprepareda50.
1900/1/1 0:00:00尊敬的AAX用戶:AAX於2022年3月35日17:00–2022年4月1日17:00(東八區時間)舉辦的“第七期AAB特享理財加息,可享高達100%年化!!”的活動現已圓滿結束,獎勵已發放.
1900/1/1 0:00:00“因为稀有才是珍贵的,而水是最便宜的,但最好的。”——柏拉图,《欧西德摩斯》30多年前,第一个网页是在欧洲核子研究中心所创建的,由TimBerners-Lee爵士和其他科学家想象构建.
1900/1/1 0:00:00原文来源:Dominoart北京时间4月2日,第59届威尼斯双年展喀麦隆国家馆全球加密艺术展“奇美拉时代-TheTimeoftheChimeras”新闻发布会在线上举办并同步直播.
1900/1/1 0:00:00亲爱的BitMart用户:LED代币合约更换已完成。LED相关功能即将恢复。各项功能恢复时间请参照:充值功能:2022年04月09日16:00交易功能:2022年04月09日16:00提现功能:.
1900/1/1 0:00:00親愛的用戶:基於對資產代幣流動性和風險的綜合考慮,幣安將永久關閉下列交易對的資產置換功能,但仍會繼續支持其提現業務.
1900/1/1 0:00:00
木星链