北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
乐天影院将向预定《黑客帝国4》电影票的用户发放NFT:12月16日消息,韩国连锁影院乐天影院(Lotte Cinema)将向预订《黑客帝国4》电影票的用户免费发放NFT。乐天影院将与华纳兄弟、NFT技术创业公司W.CRAFT合作,向首批3万名预订电影票并申请NFT的人发放“secret codes(密码)”,截至12月21日。获得密码的人可以在W.CRAFT的网页上兑换NFT。这些NFT根据3D版《黑客帝国》重新创建了角色和符号。一个以《黑客帝国》为主题的虚拟画廊将开放,其中将展示电影的片段和剪辑。虽然本次活动的NFT无法交易,但乐天影院计划在未来发行可交易的NFT。(Forkast)[2021/12/16 7:43:49]
合约漏洞分析
Blockstream CEO:FBI控制了勒索黑客租用的云服务器找回代币:Blockstream首席执行官Adam Back刚刚发推文称:“比特币没有被攻击,比特币钱包没有被攻击,也不可能被攻破。勒索黑客使用租用的云服务器。联邦调查局收到传票,控制了那里,找回了代币。就是这样。”此前消息,美国联邦调查局(FBI)副局长Abbate表示,通过执法部门,已没收黑客组织“Darkside”钱包中的虚拟货币。[2021/6/8 23:21:37]
没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
动态 | 佛罗里达州一市议会决定向黑客支付60万美元比特币赎金以换取被泄露数据:据Business Insider消息,佛罗里达州一个市议会投票决定,向攻击该市计算机系统的黑客支付价值60万美元比特币赎金。据报道,位于该州劳德代尔堡以北50英里的Riviera Beach市议会周一投票后,决定满足黑客的要求,希望取回泄露的数据。据此前消息,该黑客攻击始于5月29日,警察局的一名员工打开了一个包含恶意软件的电子邮件附件故而导致系统被感染,黑客据此进行勒索。[2019/6/20]
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
TornadoCash。
其他细节
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
親愛的用戶:幣安將於2022年04月08日18:00上線APE/ETH、BSW/ETH、FIL/TRY、FTM/EUR、GMT/GBP、ZIL/TRY交易對.
1900/1/1 0:00:00原文标题:《OmnichainNFTs》原文来源:BanklessHQNewsletter原文作者:WilliamM.Peaster原文编译:0x711.
1900/1/1 0:00:00Gate.io槓槓ETF是一種自帶槓桿屬性和具有自動調倉機制的交易產品。ETF產品每日跟進盈利虧損調整槓桿率回到目標槓桿杆倍數,盈利會開倉,虧損會減倉,用戶在交易槓桿產品的時候不需要支付保證金,
1900/1/1 0:00:00一、项目介绍RebelBotsXoilWars是多边形网络上的跨平台卡牌对战游戏。玩家将能够在Xoilium星球上以单人或多人战斗模式进行游戏、进步和赚钱.
1900/1/1 0:00:00DearValuedUsers,HuobiGlobalwillbelaunchingPrudentfor?KMA.Makeyourdepositstoearnhigh-yieldinterest.
1900/1/1 0:00:00尽管俄乌局势仍然紧张,但市场恐慌情绪有所修复,投资者关注美联储鹰派政策立场对债券市场的影响。北京时间8日凌晨,美股周四收高,加密市场也出现企稳回暖信号.
1900/1/1 0:00:00
月亮链