北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
动态 | 黑客陆续将搬砖套利获取的以太坊转移至新地址,共涉及约12000枚以太坊:据CoinHunter监测,昨日开始,黑客陆续将其从火币Global官方套利电报中文群的Telegram获取的资金进行转移,细节如下:1、0x9076开头的ETH地址将1860枚ETH经过多次转移至0xd014地址;2、0x5E01开头的ETH地址将3098枚ETH经过多次转移至0x5c10地址;3、0x14bd开头的ETH地址将2694枚ETH经过多次转移至0xcaA5地址2694枚ETH。以上交易均在北京时间19:34:50同一时间进行。4、0x0386及0x7167开头地址将3347枚ETH转移至0xf7c3地址。CoinHunter提示,这是黑客开始大批转移资金的开始,接下来可能会分批洗入交易所进行套现。[2019/6/5]
合约漏洞分析
韩国4交易所年内分别遭黑客攻击 共损失1.58亿美元 丢失信息36487条:金色财经独家报道,2017年韩国虚拟货币交易所首次受到黑客攻击的是Youbit,当时损失的金额为1,000亿韩元;韩国交易所第二次受到黑客攻击的是Bithumb,其当时黑客盗取了31,506名用户信息与4,981个账户信息;第三次受到黑客攻击的是前不久的Coinrail,其损失金额为400亿韩元;最近一次是6月20日,受到黑客攻击的交易所是Birhum,其已经第二次被攻击,损失金额为350亿韩元。2017年至今韩国虚拟货币交易所损失金额为1,750亿韩元,约合1.58亿美元,丢失用户、账户信息总量为36,487条。[2018/6/22]
没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
韩国被黑客入侵2次的Youbit交易所试图用换名字来洗清被黑客入侵的形象:韩国被黑客入侵2次的加密货币交易所Youbit试图用改变名字的方式来进行营业。根据20日加密货币业界消息,Youbit交易所最近宣布将从21日起将其主页上的业务转移到Coin Bin上。Youbit交易所会员的个人信息和资产将于21日转移到Coin Bin上,Youbit交易所的会员将可以通过Coin Bin进行交易。据悉,Coin Bin收购了Youbit交易所的运营商YAPIAN.[2018/3/20]
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
TornadoCash。
其他细节
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。