北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
推特名为Snarls Barkley的用户被盗约20枚NFT,部分被转入攻击Beeple推特的黑客地址:9月23日休息,PeckShield在Twitter上表示,推特名为Snarls Barkley的用户被盗约20枚NFT,包括BAYC、BAKC、Vee Friends、XCopy系列NFT,攻击者通过伪装可信网站的跨站脚本攻击来生成恶意OpenSea签名请求从而盗走NFT。进行本次攻击的黑客已将部分NFT转移至被Etherscan标记为攻击Beeple推特的黑客地址。[2022/9/23 7:16:54]
合约漏洞分析
没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
声音 | 一名黑客的“独白”:盗取50万美元的加密货币非常容易:据chepicap消息,一位名为“Daniel”的黑客向一家加密媒体承认,对他来说,获得50万美元(加密货币)是多么容易。他找到了一个简单的方法来绕过双重身份认证,即通过SIM交换方法。这个局的简单性是众所周知的,它会导致很多恶意的人使用这种伎俩来快速赚钱。据Micky.com报道,使用这种方法,每年都有数千万美元的加密资产被盗。尽管电信供应商声称他们有标准的协议来防止这种行为,但Daniel透露,总有办法说服他们的客户服务人员。他说:“例如,你打电话假装在瑞典电信公司Tele2工作,请他们帮你转接一个号码。”一旦号码被重定向,他就会使用Gmail或Outlook中的“忘记密码”选项来获取帐户凭据。Daniel承认,他没有任何罪恶感,因为他从来没有见过他的受害者,事实上,他把责任归咎于他们没有使用更好的安全措施。而根据分析公司Cipher Trace的一份报告,SIM卡交换是一种越来越流行的技术。[2019/5/20]
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
动态 | 圣地亚哥港遭黑客勒索比特币:据10News消息,美国加州圣地亚哥港的网络近日遭黑客攻击,黑客要求港口方面以比特币的形式完成支付,港口方面尚未透露具体的金额。港口负责人Randa Coniglio表示,该港口的一些信息技术系统已遭到破坏。美国联邦调查局和国土安全部的官员已就此展开调查,调查人员尚未公布此次攻击的幕后黑手。[2018/9/28]
TornadoCash。
其他细节
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。