STA:黑客能調用，你和我也可以？Starstream被盜1500萬美元事件分析

北京時間4月8日凌晨01:43:36，CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用，致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約，并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護，由STARS進行維護并治理。

凌晨04:36，另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

Assets Deposit Upgrade疑似遭受黑客攻擊，共造成2225枚BNB損失:10月25日消息，據Supremacy安全團隊監測，Melody SGS項目的Assets Deposit Upgrade合約疑似遭受黑客攻擊，攻擊共造成2225枚BNB損失。

Supremacy表示，由于此次攻擊事件并非是合約層面的漏洞，而是一個涉及鏈下模塊的漏洞，因此初步懷疑是由于項目的鏈下簽名生成模塊存在漏洞，導致攻擊者繞過訪問控制，從而利用API漏洞生成了合法簽名進而提取SGS和SNS。并通過Dex拋售被盜資金，最終獲利2225BNB。[2022/10/25 16:37:52]

合約漏洞分析

Beosin：TempleDAO項目遭受黑客攻擊，涉及金額約236萬美元:據Beosin EagleEye Web3安全預警與監控平臺監測顯示，TempleDAO項目遭受黑客攻擊。因為在StaxLPStaking合約的migrateStake函數缺少權限校驗，導致任意人都可以通過該函數提取合約中的StaxLP。

Beosin安全團隊分析發現攻擊者已把全部獲得的StaxLP代幣全部兌換為ETH，目前被盜資金已全部轉移到0x2B63d4A3b2DB8AcBb2671ea7B16993077F1DB5A0地址，Beosin安全團隊將持續跟蹤。Beosin Trace將對被盜資金進行持續追蹤。[2022/10/12 10:31:30]

沒有任何的權限控制，因此可以被任何人調用。這個execute函數其實是一個底層調用，通過這個底層調用，攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

現場 | Jason Cohen：數據分布式存儲向黑客發起挑戰:據CoinTime報道，Big Data Block 的CEO Jason Cohen在“數據分布式存儲更安全”的主題演講中表示，數據的分布式存儲對黑客來說是個挑戰，因為數據不只在一個地方存儲，對于黑客來說攻擊成為了一個數量游戲，他無法通過一個單一的安全漏洞對整體造成威脅。雖然仍存在風險，但僅限于非常小的數據集，黑客幾乎無法攻擊1000臺獨立的機器。[2018/8/27]

在這次攻擊中，攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

TornadoCash。

其他細節

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

在開發過程中，應該注意函數的Visibility。如果函數中有特殊的調用或邏輯，需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑，其根本原因和這次攻擊一樣，都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了3200家企業客戶的認可，保護了超過3110億美元的數字資產免受損失。

歡迎點擊CertiK公眾號底部對話框，留言免費獲取咨詢及報價！

Tags：STAREASTARSSTARbitstamp交易平臺怎么樣GastreamSTARSHIPLSTAR幣

PEPE