REA:黑客能调用，你和我也可以？Starstream被盗1500万美元事件分析-ODAILY_STAR

北京时间4月8日凌晨01:43:36，CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用，致使约1500万美元的资产受到损失。

黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约，并向其借入了包括Metis、WETH和m.USDC在内的多种资产。

Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护，由STARS进行维护并治理。

时间线

北京时间4月8日凌晨02:47，一位用户担心Starstream的风险，于是在推特上发布了相关截图。随后，凌晨03:11，有人在StarstreamDiscord社群宣布资金库已被耗尽，并建议用户们尽快将自己的资产于Agora中提出。

The Block研究总监：Ledger遭黑客攻击事件致其信息泄露高达50%:12月21日消息，The Block研究总监Larry Cermak发推表示，Ledger的信息泄漏事件比想象当中要严重得多，在与购买Ledgers的用户进行对照检查后，发现其泄露信息命中率约为50％，该信息包括家庭住址以及电话号码。Larry称，这也是在提醒用户不要将真实地址和电话号码用于与加密货币相关的购买。[2020/12/21 15:55:52]

凌晨04:36，另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。

白帽黑客：Pickle Finance攻击者通过伪造jar来窃取资金:11月22日消息，就Pickle Finance因漏洞损失近2000万美元一事，白帽黑客、DeFi Italy联合创始人Emiliano Bonassi表示，攻击者部署了“邪恶jar ”，这是一种智能合约，具有传统jar的相同界面，但是却做坏事。然后，攻击者在他的“邪恶jar ”和真正的cDAI jar之间交换了资金，偷走了价值2000万美元的存款。（Cointelegraph）[2020/11/22 21:38:31]

攻击流程

攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数，可以被任何人调用，因此攻击者顺利将STARS代币从Starstream转移到自己账户。

金色晨讯 | 360安全大脑：国家级黑客组织APT-C-26将多家数字货币交易视为攻击目标:1. 香港证监会发布有关证券型代币发行的声明

2. 韩国民主党议员提交修订案 提议惩罚未经许可的加密货币交易所

3. 360安全大脑：国家级黑客组织APT-C-26将多家数字货币交易视为攻击目标

4. 中国数字版权唯一标识在京推出 实时完成确权登记

5. 瑞士财长倡议快速完善区块链法规

6. 阿根廷财政部副部长：阿根廷将扶植数字货币和区块链企业赋能产业生产和融资

7. 万事达卡及富国银行高管认同区块链具有长期潜力

8. 北美首个小镇将允许居民使用比特币缴纳市政税

9. 彭博社：以太坊网络正失去市场份额[2019/3/29]

合约漏洞分析

此次漏洞发生的根本原因是：Distributorytreasury合约中的execute函数没有任何的权限控制，因此可以被任何人调用。这个execute函数其实是一个底层调用，通过这个底层调用，攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。

动态 | Syscoin遭遇黑客攻击:Syscoin在推特上证实，正在调查出现问题的原因，并表示已经要求所有加密货币交易所暂时停止交易。该公司还没有能够确定漏洞的原因。[2018/7/4]

在这次攻击中，攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。

资产追踪

据CertiKSkyTrace显示，4月8日凌晨5点，黑客已顺利将所盗资金转移至TornadoCash。

其他细节

漏洞交易：

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻击者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合约:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

写在最后

此次事件可通过安全审计发现相关风险。通过审计，可以查出这个函数是所有人都可以调用的，并且是一个底层调用。

在此，CertiK的安全专家建议：

在开发过程中，应该注意函数的Visibility。如果函数中有特殊的调用或逻辑，需要确认函数是否需要相应的权限控制。

前段时间有大量的项目因publicburn()函数而被黑，其根本原因和这次攻击一样，都是由于缺乏必要的权限控制所导致。

作为区块链安全领域的领军者，CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止，CertiK已获得了3200家企业客户的认可，保护了超过3110亿美元的数字资产免受损失。

欢迎点击CertiK公众号底部对话框，留言免费获取咨询及报价！

标签：REASTARSSTARSTAREAPWinStarsStartupersCoinbitstamp提现交税

BNB热门资讯