北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
时间线
北京时间4月8日凌晨02:47,一位用户担心Starstream的风险,于是在推特上发布了相关截图。随后,凌晨03:11,有人在StarstreamDiscord社群宣布资金库已被耗尽,并建议用户们尽快将自己的资产于Agora中提出。
加密黑客在2022年的三个季度内盗取了超过25亿美元:金色财经报道,根据Atlas进行的分析结果,在2022年第三季度,尽管最近一个季度的区块链黑客数量与第二季度相比下降了43%,但黑客成功窃取了总计约4.83亿美元的资金,在三个季度中,区块链黑客损失的总金额为 2,570,117,825 美元,损失的金额是根据黑客或欺诈发生时特定加密货币的兑换率确定的。[2022/10/26 11:45:44]
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
BAYC联创称正在遭遇黑客攻击,不要相信其发布的任何信息:7月11日消息,无聊猿BAYC联合创始人Garga.eth在个人社交媒体平台发文表示,有人正在频繁地试图黑我,不要相信任何来自我发布的信息。[2022/7/11 2:06:02]
攻击流程
攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数,可以被任何人调用,因此攻击者顺利将STARS代币从Starstream转移到自己账户。
合约漏洞分析
此次漏洞发生的根本原因是:Distributorytreasury合约中的execute函数没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
去中心化存储协议Swarm被黑客攻击:5月20日消息,据Extend Labs团队报告,其团队通过其bzzscan.com浏览器数据监控发现Swarm项目存在大量gBZZ被超发出的情况并提交Swarm官方。经调查,此次攻击导致了单个支票超发2000多个gBZZ。
经查证,该消息目前已经得到swarm官方团队回应:确认该次为黑客攻击行为,导致了大量gBZZ超发,但是最终的蜂后节点只从可信任的节点中产生,显然这些作恶节点是不会被选择为蜂后节点的,它只会拖累goerli网络。[2021/5/20 22:26:49]
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
推特主动向爱尔兰数据保护委员会报备黑客攻击事件:推特已主动向欧盟数据保护机构报备此前受到黑客攻击的事件。欧盟数据保护机构爱尔兰数据保护委员会(DPC)发言人Graham Doyle表示,该监管机构已收到关于这一事件的通报,正在进行评估。DPC是推特和其他美国科技公司在欧盟的主要监管机构,这些公司的欧洲总部都设在爱尔兰。
推特仍在调查和评估攻击是如何进行的,但并没有透露帐户中的其他信息(比如私人信息)是否受到影响。这一事件引发人们对肇事者身份和其实际目标的猜测。一些网络安全专家推测,这次攻击掩盖了一场更为邪恶的行动,目的是获取敏感数据。推特表示正在与监管机构密切合作。(彭博社)[2020/7/22]
资产追踪
据CertiKSkyTrace显示,4月8日凌晨5点,黑客已顺利将所盗资金转移至TornadoCash。
其他细节
漏洞交易:
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
写在最后
此次事件可通过安全审计发现相关风险。通过审计,可以查出这个函数是所有人都可以调用的,并且是一个底层调用。
在此,CertiK的安全专家建议:
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。