北京時間4月8日凌晨01:43:36,CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用,致使約1500萬美元的資產受到損失。
黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約,并向其借入了包括Metis、WETH和m.USDC在內的多種資產。
Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護,由STARS進行維護并治理。
凌晨04:36,另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。
報告:今年朝鮮黑客竊取的加密貨幣價值約2億美元:金色財經報道,TRM Labs的研究報告稱,今年1月至上月18日,與朝鮮有關的黑客竊取的加密貨幣金額為2億美元(約2670億韓元)。TRM Labs表示,這占今年被盜加密貨幣的20%以上。黑客竊取加密貨幣是為了資助朝鮮政權的核武器計劃。
TRM Labs情報分析師Nick Carlson表示,由于國際制裁,朝鮮承受著相當嚴重的經濟壓力,對他們來說,竊取加密貨幣是一種非常有效的賺錢方式。[2023/9/6 13:21:26]
合約漏洞分析
沒有任何的權限控制,因此可以被任何人調用。這個execute函數其實是一個底層調用,通過這個底層調用,攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。
Curve Finance將向遭受黑客攻擊影響的用戶提供賠償:金色財經報道,Curve Finance宣布計劃對受到最近黑客攻擊影響的用戶進行賠償,此次黑客攻擊造成了 6200 萬美元的損失。該公司在最近的一篇 X 帖子中表示,調查進展順利,79% 的資金已成功追回。[2023/8/21 18:11:52]
在這次攻擊中,攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。
TornadoCash。
其他細節
推特用戶:黑客被確認為前FTX開發人員Samuel Hyde,動機尚不清楚:11月12日消息,據推特用戶@tittyrespecter發推稱,黑客被確認為前FTX開發人員SamuelHyde,動機尚不清楚,但行動可能是由于今年早些時候與最高領導層的沖突。
金色財經此前報道,FTX在其Telegram社群中發公告稱,FTX遭黑客攻擊,疑似所有資金遭竊取。[2022/11/12 12:55:01]
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻擊者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合約:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
在開發過程中,應該注意函數的Visibility。如果函數中有特殊的調用或邏輯,需要確認函數是否需要相應的權限控制。
前段時間有大量的項目因publicburn()函數而被黑,其根本原因和這次攻擊一樣,都是由于缺乏必要的權限控制所導致。
作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。
歡迎點擊CertiK公眾號底部對話框,留言免費獲取咨詢及報價!
親愛的ZT用戶: ZT創新板即將上線LFT,並開啟LFT/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年4月6日18:00; LFT 項目簡介:LendFlare是以太坊區.
1900/1/1 0:00:00親愛的用戶: 幣安將於2022年04月08日11:30上線WOOUSDT1-25倍U本位永續合約。注意:WOOU本位永續合約是正向合約,即穩定幣合約,採用穩定幣作為保證金.
1900/1/1 0:00:00一、項目介紹 成為最大的CyOp之一的一部分。CyOp是加密圈中一個獨特的和破壞性的社區管理事件,由CyOp協議觸發,改變了一個硬幣的代幣經濟學.
1900/1/1 0:00:00前言:投資有風險,操作需謹慎。文章審核需要時間,會出現延遲發布情況,文章僅供參考,歡迎閱覽!本文撰寫時間:4月9日15:15 行情回顧 昨日行情來回震蕩,晚間再次觸及43000附近后重新得到支撐.
1900/1/1 0:00:00Gate.iowilllaunchaBullishSharkFinproductunderBTCwithanannualizedyieldof2%~25%.
1900/1/1 0:00:00尊敬的用戶: ?? BKEXGlobal舉辦的"NVIR充值福利"活動已于2022年3月7日12:00圓滿結束,感謝用戶的大力支持!活動獎勵將于5個工作日內發放,請留意賬戶余額變動.
1900/1/1 0:00:00