北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
时间线
北京时间4月8日凌晨02:47,一位用户担心Starstream的风险,于是在推特上发布了相关截图。随后,凌晨03:11,有人在StarstreamDiscord社群宣布资金库已被耗尽,并建议用户们尽快将自己的资产于Agora中提出。
Solana上开发平台Ironforge获得260万美元融资:金色财经报道,Solana上开发平台Ironforge在获得260万美元的种子期前融资后,今天发布了其内测版本,简化了Solana区块链与现有系统的集成。本轮融资由互惠风险投资公司领投,Hash3、sixth Man Ventures、Alchemy、Monoceros Ventures和Portage Ventures参投。[2023/6/13 21:33:10]
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
Adam Back:加密市场是“反脆弱的”:金色财经报道,加密基础设施公司Blockstream首席执行官Adam Back表示,如果 Binance.US 停止为美国客户提供服务,该行业将找到解决方法。加密系统是反脆弱的。其他一些采用不同策略的公司将获得大量新用户。有市场就有需求。一旦交易所关闭或停止客户服务,人们就会切换到另一个,总是有替代的发展选择。即使美元存款有限,用户也将开始开设欧元账户以使用另一种货币进行交易。在对加密货币友好的金融机构中,他指出欧洲、瑞士和直布罗陀的几家银行接受 USDT 存款。[2023/6/12 21:32:20]
攻击流程
攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数,可以被任何人调用,因此攻击者顺利将STARS代币从Starstream转移到自己账户。
白俄罗斯加密货币税收优惠期限延长至2025年1月1日:金色财经报道,白罗斯总统Aleksandr Lukashenko签署了关于个人税收问题的第80号法令,将与加密货币相关的税收优惠期限延长至2025年1月1日。
第80号法令还规定在2024年7月1日之前制定一个关于进一步发展白俄罗斯数字代币领域的概念。[2023/3/29 13:31:48]
合约漏洞分析
此次漏洞发生的根本原因是:Distributorytreasury合约中的execute函数没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
Polygon:PolygonScan目前节点已重新同步,系统已恢复正常:2月23日消息,针对今日凌晨区块链浏览器PolygonScan长时间数据不更新,Polygon官方在推特上表示,大约凌晨4:26左右,一些节点失去同步,这会导致一些节点短时间内无法验证块的反应。区块生产从未停止,然而,网络性能可能会出现暂时性下降。目前节点已重新同步,系统恢复正常。PolygonScan上的数据现已恢复正常。
Polygon上节点基础设施提供商Rivet的Greg Lang表示,Polygon的问题似乎源于一次“异常大”的区块重组,该重组发生在Polygon表示节点失去同步的两分钟之前。Lang表示,小规模的区块重组在Polygon和其他基于以太坊虚拟机(EVM)的网络上很常见,它们不一定引起关注,但这次的不同之处在于重组的规模,即157个区块。(CoinDesk)[2023/2/23 12:24:54]
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
资产追踪
据CertiKSkyTrace显示,4月8日凌晨5点,黑客已顺利将所盗资金转移至TornadoCash。
其他细节
漏洞交易:
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
写在最后
此次事件可通过安全审计发现相关风险。通过审计,可以查出这个函数是所有人都可以调用的,并且是一个底层调用。在此,CertiK的安全专家建议:
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。