北京時間4月8日凌晨01:43:36,CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用,致使約1500萬美元的資產受到損失。
黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約,并向其借入了包括Metis、WETH和m.USDC在內的多種資產。
Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護,由STARS進行維護并治理。
時間線
北京時間4月8日凌晨02:47,一位用戶擔心Starstream的風險,于是在推特上發布了相關截圖。隨后,凌晨03:11,有人在StarstreamDiscord社群宣布資金庫已被耗盡,并建議用戶們盡快將自己的資產于Agora中提出。
央行數字貨幣國際協作組織(CBDCCO)將于8月宣布成立,吳征博士出任首屆主席:8月2日消息,央行數字貨幣國際協作組織(CentralBankDigitalCurrency CollaborationOrganization/CBDCCO)正在由諾貝爾可持續發展信托基金(NobelSustainabilityTrustFoundation)注冊成立,計劃于2024年1月開始以瑞士蘇黎世為總部開始營運。CBDC是以國家信用為基礎的央行數字貨幣的統稱。
央行數字貨幣國際協作組織的前身是聯合國國際電信聯盟(ITU)下屬的法定數字貨幣焦點組(FocusGrouponDigitalFiatCurrency)及其核心團隊的工作。該小組成立于2017年,央行數字貨幣(CBDC)一詞源自于此。共計有來自于40多個包括G7在內的各個國家央行及多個監管部門,國際貨幣基金組織(IMF)、國際清算銀行(BIS)、國際電信聯盟(ITU)、電氣電子工程師學會(IEEE)及國際標準化組織(ISO)等國際組織,Visa、Mastercard、PayPal等支付機構,金磚銀行等多個銀行及其主要金融科技公司的現任/前任政策、行政及技術負責人及專家,共計140多人參加日常工作。[2023/8/3 16:14:52]
凌晨04:36,另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。
泰國證監會要求加密貨幣交易平臺Zipmex就凍結提款問題做出澄清:7月21日消息,泰國證監會在其官網表示已向加密貨幣交易平臺 Zipmex 致函,要求其就凍結提款問題做出澄清,澄清內容包括管理的客戶資產數量以及如何使用與 ZipUp 相關的存款資金的詳細信息。
此前消息,此前暫停提款的加密貨幣交易平臺 Zipmex 宣布,將于北京時間 2022 年 7 月 21 日 19:00 重新為交易錢包(Trade Wallet)啟用存取款功能,交易功能將繼續保持禁用,直至另行通知。(CoinDesk)[2022/7/21 2:29:07]
攻擊流程
攻擊者調用合約并調用了Distributortreasury合約中的外部函數`execute()`。由于該函數為外部函數,可以被任何人調用,因此攻擊者順利將STARS代幣從Starstream轉移到自己賬戶。
上海市兒童基金會發行NFC數字版權藏品:金色財經報道,據上海市兒童基金會官方公眾號,上海市兒童基金會發起“奧運冠軍助力后疫情下考生暨奧運金牌數字版權藏品NFC公益活動”,據悉NFC是數字版權藏品,既是數字資產所有權的憑證,也是藏友獲得版權作品授權的憑證,并可能獲得版權收益。[2022/7/7 1:57:20]
合約漏洞分析
此次漏洞發生的根本原因是:Distributorytreasury合約中的execute函數沒有任何的權限控制,因此可以被任何人調用。這個execute函數其實是一個底層調用,通過這個底層調用,攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。
Revolut創始人推出由人工智能驅動的新VC“QuantumLight Capital”:5月17日消息,數字銀行 Revolut 創始人 Nik Storonsky 宣布推出由人工智能驅動的風險投資基金“QuantumLight Capital”,啟動資金來自包括 Storonsky 在內的若干投資機構。
據悉,QuantumLight Capital 將主要專注于 B 輪和 C 輪融資,使用名為 Aleph 的人工智能作為其“專有的量化決策引擎”來識別投資機會。[2022/5/17 3:22:48]
在這次攻擊中,攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。
資產追蹤
據CertiKSkyTrace顯示,4月8日凌晨5點,黑客已順利將所盜資金轉移至TornadoCash。
其他細節
漏洞交易:
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻擊者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合約:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
寫在最后
此次事件可通過安全審計發現相關風險。通過審計,可以查出這個函數是所有人都可以調用的,并且是一個底層調用。在此,CertiK的安全專家建議:
在開發過程中,應該注意函數的Visibility。如果函數中有特殊的調用或邏輯,需要確認函數是否需要相應的權限控制。
前段時間有大量的項目因publicburn()函數而被黑,其根本原因和這次攻擊一樣,都是由于缺乏必要的權限控制所導致。
作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。
撰寫:Kyle 翻譯:TechFlowintern如果您作為剛剛進入Crypto/Web3的新手,這里有5條重要的心理規則需要遵守.
1900/1/1 0:00:00「炒鞋、炒手辦潮玩早沒那么火熱了,現在圈子里都是炒數字藏品了。」球鞋玩家老劉介紹著。在2019年9月,Supreme19FW的開季贈品傘兵玩具在二級市場上被炒至2000多元的消息刷爆了鞋圈,限量.
1900/1/1 0:00:00原標題:《那個可以跨鏈的Gh0stlyGh0sts會成為下一個Azuki嗎?》 作者:陳劍 這篇文章涉及代碼相對較多,可能會略有枯燥,請耐心看完從而理解其中原理.
1900/1/1 0:00:00原作者:@danku_r譯者:深鏈財經Tanker自1月底以來,Terra生態非營利組織LunaFoundationGuard已購買超過10億美元的比特幣.
1900/1/1 0:00:00不管你喜歡怎么稱呼它——加密、區塊鏈或Web3——這個數字經濟的新領域正在非洲蓬勃發展。如果你一直沉睡不知,現在是時候醒醒了.
1900/1/1 0:00:00整理|Rachel 火星編輯時刻 《縱覽紅杉加密投資版圖:共投資68起,布局明顯加速》加密貨幣將成為未來20至30年最大的趨勢,紅杉資本在美國和歐洲的新投資中有20%是加密貨幣項目.
1900/1/1 0:00:00