REA:黑客能调用，你和我也可以？Starstream被盗1500万美元事件分析_STAR

北京时间4月8日凌晨01:43:36，CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用，致使约1500万美元的资产受到损失。

黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约，并向其借入了包括Metis、WETH和m.USDC在内的多种资产。

Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护，由STARS进行维护并治理。

时间线

北京时间4月8日凌晨02:47，一位用户担心Starstream的风险，于是在推特上发布了相关截图。随后，凌晨03:11，有人在StarstreamDiscord社群宣布资金库已被耗尽，并建议用户们尽快将自己的资产于Agora中提出。

Connext和Alchemix推出跨链代币标准以减少黑客攻击损失:金色财经报道，Connext 跨链桥接协议宣布联合Alchemix推出了新的代币标准，以减少跨链桥黑客攻击造成的损失。根据公告，新的“xERC-20”标准允许代币发行者维护官方桥接列表，并控制每个桥可以铸造的代币数量。公告称，除了Connext之外，DeFi平台Alchemix Finance将部署xERC-20代币标准。

Connext 在公告中表示，新的标准将防止安全性较差或过度中心化的桥梁受到攻击，因为代币发行者现在可以灵活地随着时间的推移详细更新他们对支持桥的偏好。跨链桥不再优先考虑建立流动性垄断，或试图通过锁定代币发行者（或在某些情况下整个链）来垄断市场份额，而是被迫持续关注其安全性和服务质量，以免被摘牌。[2023/7/25 15:56:32]

凌晨04:36，另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。

谷歌云正在策划更多以Web3为中心的产品:金色财经报道，谷歌云Web3负责人James Tromans表示，谷歌云正在策划更多以Web3为中心的产品，使其计算产品成为行业公司和开发人员的首选。谷歌云最近推出了一项旨在支持Web3领域参与者的启动计划。Tromans表示，谷歌云将继续在 BigQuery（谷歌的“无服务器数据仓库”）上提供以太坊等链上数据集，其云计算服务部门继续以与其区块链节点引擎相同的方式构建服务，帮助客户成为Web3生态系统中的变革性参与者是该公司使命的核心部分。该高管没有详细说明可能正在制定的任何具体举措。[2023/7/22 15:51:47]

攻击流程

攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数，可以被任何人调用，因此攻击者顺利将STARS代币从Starstream转移到自己账户。

美国参议员：Signature Bank倒闭是由于接纳加密客户而没有足够的保障措施:金色财经报道，美国参议员Elizabeth Warren将Signature Bank的失败归咎于其接受加密货币客户而没有足够的保障措施。Warren强调：\"国会和公众必须从Signature Bank的失败中吸取教训。

她还认为，Signature Bank支持削减多德-弗兰克华尔街改革法中规定的资本要求的努力，并补充说，该银行还向国会放松银行监管的领导人提供了数千美元的竞选捐款。像Signature Bank这样的中型银行完全没有能力独立管理风险，这种失败导致银行被关闭并由政府监管机构接管。[2023/3/17 13:10:33]

合约漏洞分析

QuickSwap推出借贷产品QuickSwap Lend:10月10日消息，Polygon生态DEX QuickSwap推出借贷产品QuickSwap Lend，包括公开借贷市场、IB市场、IB稳定币市场。

用户可以在公开借贷市场中通过抵押资产借出资产。IB市场及IB稳定币市场中，用户可分别通过抵押支持的资产和稳定币资产借出美元稳定币MAI。[2022/10/10 10:29:52]

此次漏洞发生的根本原因是：Distributorytreasury合约中的execute函数没有任何的权限控制，因此可以被任何人调用。这个execute函数其实是一个底层调用，通过这个底层调用，攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。

在这次攻击中，攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。

资产追踪

据CertiKSkyTrace显示，4月8日凌晨5点，黑客已顺利将所盗资金转移至TornadoCash。

其他细节

漏洞交易：

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻击者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合约:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

写在最后

此次事件可通过安全审计发现相关风险。通过审计，可以查出这个函数是所有人都可以调用的，并且是一个底层调用。在此，CertiK的安全专家建议：

在开发过程中，应该注意函数的Visibility。如果函数中有特殊的调用或逻辑，需要确认函数是否需要相应的权限控制。

前段时间有大量的项目因publicburn()函数而被黑，其根本原因和这次攻击一样，都是由于缺乏必要的权限控制所导致。

作为区块链安全领域的领军者，CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止，CertiK已获得了3200家企业客户的认可，保护了超过3110亿美元的数字资产免受损失。

标签：REASTARSSTARSTABreakoutSTARS币Stark ChainASTAX

波场热门资讯