北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
德国创企Fulmo近期举办线上黑客马拉松,推进闪电网络开发:德国闪电网络研究初创公司Fulmo多次在全球范围内举办“Lightning Hack Day”活动,开发者们聚集在一起进行黑客攻击,分享新的想法,以推进一直在进行的闪电网络或相关项目。随着冠状病疫情在全球蔓延,该公司此前已将此活动转移到线上进行,并将其重新命名为“Hack Sprint”。
据悉,活动举办日期为5月9日-10日,开发人员展示了他们所构建或改进的16个项目,以各种方式改进了不断扩展的闪电生态系统。(CoinDesk)[2020/6/2]
时间线
北京时间4月8日凌晨02:47,一位用户担心Starstream的风险,于是在推特上发布了相关截图。随后,凌晨03:11,有人在StarstreamDiscord社群宣布资金库已被耗尽,并建议用户们尽快将自己的资产于Agora中提出。
动态 | 黑客将以太坊区块链系统与谷歌系统相连,可通过电子邮件发送ETH:金色财经报道,三名黑客提出了一个创新的项目,将以太坊的区块链系统与谷歌系统连接起来,这样就可以将ETH发送到一个电子邮件地址,并通过这个电子邮件地址发送到另一个电子邮件地址。人们只需通过Metamask将ETH存入选择的电子邮件地址,该电子邮件地址即已拥有ETH,并由谷歌的授权系统保护。[2019/11/13]
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
动态 | Bitrue遭黑客攻击 失窃930万枚XRP及250万枚ADA:据加密货币平台Bitrue官推消息,6月27日凌晨1点(EMT+8)左右,一名黑客利用该平台风险控制团队二次审查过程中的一个漏洞,访问了大约90位Bitrue用户的个人资金。黑客通过攻击进入Bitrue热钱包,将930万XRP和250万ADA转移到不同的交易所。 Bitrue官方表示,在发现黑客攻击后已暂停了服务,并向火币、Bittrex等资金接收方通报了情况。情况已得到控制,资金损失将100%返还用户,Bitrue正在重新审核其安全措施和政策,以确保这种情况不会再次发生。[2019/6/27]
动态 | 圣地亚哥港遭黑客勒索比特币:据10News消息,美国加州圣地亚哥港的网络近日遭黑客攻击,黑客要求港口方面以比特币的形式完成支付,港口方面尚未透露具体的金额。港口负责人Randa Coniglio表示,该港口的一些信息技术系统已遭到破坏。美国联邦调查局和国土安全部的官员已就此展开调查,调查人员尚未公布此次攻击的幕后黑手。[2018/9/28]
攻击流程
攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数,可以被任何人调用,因此攻击者顺利将STARS代币从Starstream转移到自己账户。
合约漏洞分析
此次漏洞发生的根本原因是:Distributorytreasury合约中的execute函数没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
美国音乐会票务巨头Ticketfly遭黑客攻击勒索比特币 暂时关闭所有系统:美国票务网站Ticketfly发布声明称,遭受了一名黑客的攻击,为保护客户、网站和相关数据,决定暂时将所有系统关闭。据Billboard,黑客称自己是IsHaKdZ,用Guy Fawkes的照片取代了Ticketfly的网站,声称可以访问Ticketfly的后台数据库。而Ticketfly与黑客进行了电子邮件交谈,黑客要求提供一个比特币来交换Ticketfly漏洞的详细信息。[2018/6/2]
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
资产追踪
据CertiKSkyTrace显示,4月8日凌晨5点,黑客已顺利将所盗资金转移至TornadoCash。
其他细节
漏洞交易:
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
写在最后
此次事件可通过安全审计发现相关风险。通过审计,可以查出这个函数是所有人都可以调用的,并且是一个底层调用。
在此,CertiK的安全专家建议:
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。