BTC/HKD-0.19%
ETH/HKD-0.25%
LTC/HKD+1.31%
DOT/HKD+1.24%
ADA/HKD+0.03%
SOL/HKD-0.78%
XRP/HKD+0.73%
DOGE/US+0.97%北京時間4月8日凌晨01:43:36,CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用,致使約1500萬美元的資產受到損失。
黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約,并向其借入了包括Metis、WETH和m.USDC在內的多種資產。
Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護,由STARS進行維護并治理。
時間線
北京時間4月8日凌晨02:47,一位用戶擔心Starstream的風險,于是在推特上發布了相關截圖。隨后,凌晨03:11,有人在StarstreamDiscord社群宣布資金庫已被耗盡,并建議用戶們盡快將自己的資產于Agora中提出。
Maxar與Blackshark.ai合作推出用于元宇宙等應用的3D數字孿生解決方案:2月27日消息,Maxar Technologies發布了SYNTH3D,這是一種用于模擬、元宇宙和VR應用的數字孿生技術。該3D數字孿生解決方案由Maxar與人工智能初創公司Blackshark.ai合作開發,這一最新產品將幫助創作者模擬并將真實世界的環境帶入元宇宙和虛擬現實(VR)應用程序。(NFTGators)[2023/2/27 12:31:31]
凌晨04:36,另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。
比特幣快速支付應用Strike推出全球匯款功能:12月6日消息,比特幣快速支付應用Strike宣布推出全球匯款功能“Send Globally”,通過與非洲支付平臺Bitnob合作實現了對非洲的即時支付。
此前消息,比特幣快速支付應用Strike完成9000萬美元融資,由Ten31領投,華盛頓大學圣路易斯捐贈基金會、懷俄明大學捐贈基金會和Susquehanna參投。Strike是基于閃電網絡的加密支付應用,該公司致力于在日常支付方面挑戰信用卡巨頭Visa和萬事達卡。(Business Wire)[2022/12/6 21:25:56]
攻擊流程
攻擊者調用合約并調用了Distributortreasury合約中的外部函數`execute()`。由于該函數為外部函數,可以被任何人調用,因此攻擊者順利將STARS代幣從Starstream轉移到自己賬戶。
彭博社:納斯達克正等待監管明確后推出加密交易平臺:金色財經報道,彭博社報道,納斯達克(NASDAQ)執行副總裁Tal Cohen表示,納斯達克可能會等到加密貨幣交易平臺的監管更加明確、被多數機構采用之后,再推出自己的加密貨幣交易平臺。
Tal Cohen補充道,為零售客戶提供服務的市場已經相當飽和,納斯達克將專注于其加密托管服務,因為如果你能妥善保管人們的資產,他們就會信任你,為之后開展各種業務做好鋪墊。[2022/10/6 18:40:44]
合約漏洞分析
此次漏洞發生的根本原因是:Distributorytreasury合約中的execute函數沒有任何的權限控制,因此可以被任何人調用。這個execute函數其實是一個底層調用,通過這個底層調用,攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。
加州超級食品連鎖店Everbowl接受第一筆全部以比特幣支付的加盟費:6月8日消息,Bitcoin Archive發推稱,總部位于美國加州的超級食品連鎖店Everbowl接受了第一筆全部以比特幣支付的加盟費。[2022/6/8 4:10:14]
在這次攻擊中,攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。
資產追蹤
據CertiKSkyTrace顯示,4月8日凌晨5點,黑客已順利將所盜資金轉移至TornadoCash。
其他細節
漏洞交易:
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻擊者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合約:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
寫在最后
此次事件可通過安全審計發現相關風險。通過審計,可以查出這個函數是所有人都可以調用的,并且是一個底層調用。在此,CertiK的安全專家建議:
在開發過程中,應該注意函數的Visibility。如果函數中有特殊的調用或邏輯,需要確認函數是否需要相應的權限控制。
前段時間有大量的項目因publicburn()函數而被黑,其根本原因和這次攻擊一樣,都是由于缺乏必要的權限控制所導致。
作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。
Tags:STRREASTARSSTAastra幣有價值嗎ethereal最美翻譯TradeStarsstarlink幣價格
作者:YoussefAmrani,Messari分析師 整理:麟奇,鏈捕手 1、今天,@CosmosTheta升級低調上線.
1900/1/1 0:00:00元宇宙概念逐漸走進人們的視野里,身處區塊鏈圈子里的小伙伴,自然大部分是通過鏈游知道元宇宙這個概念.
1900/1/1 0:00:00作者:PaulVeradittakit,PanteraCapital合伙人原標題:《NFTAggregation》 編譯:餅干,鏈捕手 導讀:2月中旬.
1900/1/1 0:00:00以色列連續創業者ArielShapira在他每月的加密技術專欄中報道關于加密貨幣、去中心化金融和區塊鏈領域的新興技術,以及它們在塑造21世紀經濟中的作用.
1900/1/1 0:00:00撰文:andrecronje 翻譯:L Crypto已死,Crypto永生。我希望我更老,老到可以看到貨幣政策的誕生以及能夠看到他們所犯的錯誤,因為我相信我們正在重復這些錯誤.
1900/1/1 0:00:002022年的前三個月提醒了dapp行業的每個人,這個新生的領域正在我們眼前迅速發展。來自不同類別的dapp——即游戲、DeFi和NFT,在我們面前展示了它們的潛力,同時也顯現出在完全成為主流之前.
1900/1/1 0:00:00
比特幣價格
