REA:黑客能調用，你和我也可以？Starstream被盜1500萬美元事件分析-ODAILY

北京時間4月8日凌晨01:43:36，CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用，致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約，并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護，由STARS進行維護并治理。

時間線

北京時間4月8日凌晨02:47，一位用戶擔心Starstream的風險，于是在推特上發布了相關截圖。隨后，凌晨03:11，有人在StarstreamDiscord社群宣布資金庫已被耗盡，并建議用戶們盡快將自己的資產于Agora中提出。

Paxos追回FTX黑客攻擊中被盜的2000萬美元PAXG代幣:金色財經報道，Paxos已經收回了在FTX黑客攻擊中被盜的11184個Paxos（PAXG）代幣，價值2000萬美元，這些代幣存放在11月入侵FTX的一個未知攻擊者的錢包里。安全公司PeckShield根據鏈上數據指出，Paxos昨天采取行動，將被Etherscan標記為“FTX Accounts Drainer”的地址中被盜的代幣轉移到一個空地址，并燒毀了它們。在此之后，它將相同數量的硬幣鑄造到另一個錢包中，從而完成回收過程。[2022/12/24 22:04:23]

凌晨04:36，另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

泰國央行：“2022年數字金融大會”將舉行CBDC黑客馬拉松大賽并重點討論Web3、區塊鏈等話題:金色財經報道，泰國央行宣布將于10月27日至29日舉行“2022年數字金融大會”，本次大會將以“協作、創新、啟發”為主題，重點討論跨境支付與央行數字貨幣（CBDC）、網絡安全、人工智能、區塊鏈、Web 3.0等金融科技領域熱點話題，并舉行政策黑客馬拉松和CBDC黑客馬拉松大賽。[2022/10/24 16:36:49]

攻擊流程

攻擊者調用合約并調用了Distributortreasury合約中的外部函數`execute()`。由于該函數為外部函數，可以被任何人調用，因此攻擊者順利將STARS代幣從Starstream轉移到自己賬戶。

聲音 | 區塊鏈分析公司：盜竊幣安的黑客身份仍無法確定:據亞洲新聞網報道，根據倫敦區塊鏈分析公司Coinfirm的說法，黑客已經將幣安被盜的比特幣移動到幾個數字錢包中，幾乎全部比特幣都在七個地址中。雖然可以追蹤加密貨幣的移動，但黑客或持有被盜加密貨幣的錢包所有者的身份和位置尚不清楚。[2019/5/10]

合約漏洞分析

此次漏洞發生的根本原因是：Distributorytreasury合約中的execute函數沒有任何的權限控制，因此可以被任何人調用。這個execute函數其實是一個底層調用，通過這個底層調用，攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

在這次攻擊中，攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

日本零售商Shopin的MEW錢包遭到黑客攻擊:據美通社：日本零售商Shopin的MEW錢包遭到黑客攻擊，損失了超1000萬美元的代幣，包括以太坊，Level Up， Orbs，和Shopin代幣。[2018/6/6]

資產追蹤

據CertiKSkyTrace顯示，4月8日凌晨5點，黑客已順利將所盜資金轉移至TornadoCash。

其他細節

漏洞交易：

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

寫在最后

此次事件可通過安全審計發現相關風險。通過審計，可以查出這個函數是所有人都可以調用的，并且是一個底層調用。

在此，CertiK的安全專家建議：

在開發過程中，應該注意函數的Visibility。如果函數中有特殊的調用或邏輯，需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑，其根本原因和這次攻擊一樣，都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了3200家企業客戶的認可，保護了超過3110億美元的數字資產免受損失。

歡迎點擊CertiK公眾號底部對話框，留言免費獲取咨詢及報價！

Tags：REASTASTARSSTRGreat ApeEthereum StakeFootballStarsSTRC價格

幣安交易所app下載