REA:黑客能調用，你和我也可以？Starstream被盜1500萬美元事件分析-ODAILY_STAR

北京時間4月8日凌晨01:43:36，CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用，致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約，并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護，由STARS進行維護并治理。

時間線

北京時間4月8日凌晨02:47，一位用戶擔心Starstream的風險，于是在推特上發布了相關截圖。隨后，凌晨03:11，有人在StarstreamDiscord社群宣布資金庫已被耗盡，并建議用戶們盡快將自己的資產于Agora中提出。

卡巴斯基：1/3美國加密投資者或是黑客盜竊受害者:金色財經報道，根據網絡安全公司卡巴斯基最新研究報告顯示，估計約有30%的美國加密投資者成為黑客盜竊的受害者，他們丟失資產的平均價值接近10萬美元，甚至有15%的受訪者承認丟失的加密貨幣價值高達100萬美元。數據顯示，大部分受害者年齡在18-24歲，55歲以上受害者比例為8%。（cryptopotato）[2023/3/27 13:29:33]

凌晨04:36，另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

深夜脫口秀節目主持人嘲諷黑客要求受害者支付BTC是愚蠢的想法:近日，美國CBS深夜脫口秀節目The Late Show主持人Stephen Colbert引用Vice最近的報道，報道稱黑客要求受害者支付BTC解鎖其與互聯網相連的貞操帶。Colbert嘲諷道，“用比特幣付錢？這是我聽到的第二個愚蠢的想法。”他暗示第一個愚蠢的想法是有人將貞操帶聯網并且被黑了。

早在2013年4月，當比特幣價格在50-300美元之間波動時，他就曾在脫口秀中提及加密貨幣。當時這位Colbert Report主持人似乎同意華爾街分析師Nick Colas對加密貨幣的評價，稱之為“書呆子的黃金”。Colbert稱，“比特幣加入了Camel Cash和歐元等虛構貨幣的豐富傳統。比特幣之所以有價值，僅僅是因為互聯網上的一幫人都認為它有價值。如果你不知道比特幣是什么……想買點比特幣嗎？不？你確定？”（Cointelegraph）[2021/1/15 16:14:53]

Filecoin公布“虛擬黑客馬拉松”獲獎者名單:據Filecoin官方發布，在宣布SpaceRace（Filecoin礦工的全球競賽）之后，Filecoin公布“虛擬黑客馬拉松”獲獎名單，第一名獲得者是DeepVerse團隊；第二名獲得者是Filecoin定價機制；第三名獲獎者是Filecoin Research Repository背后的團隊；

此前報道，Filecoin將于7月6日至8月6日開設為期30天的“虛擬黑客馬拉松”。據介紹，HackFS旨在為分散式網絡奠定基礎。開發人員將構建dapp、游戲開發工具，DeFi集成以及其他利用分散存儲的技巧。[2020/9/9]

攻擊流程

攻擊者調用合約并調用了Distributortreasury合約中的外部函數`execute()`。由于該函數為外部函數，可以被任何人調用，因此攻擊者順利將STARS代幣從Starstream轉移到自己賬戶。

美聯邦調查局對推特黑客事件另一策劃者實行搜查令:9月1日，美國聯邦調查局對推特黑客事件的另一名策劃者施行搜查令。調查顯示，該16歲少年（因年齡未受指控，目前命名該少年）當時假扮成推特員工或承包商，以欺騙用戶將登錄憑據輸入假網站然后獲取相關信息，并與事件主要策劃者Graham Ivan Clark合作進行了相關襲擊。此前消息，7月16日凌晨，拜登、奧巴馬等眾多名人推特被黑并發布數字貨幣釣魚騙局。此前已有三名涉嫌參與者Mason Sheppard、Nima Fazeli、Graham Clark被起訴。(cointelegraph)[2020/9/2]

合約漏洞分析

此次漏洞發生的根本原因是：Distributorytreasury合約中的execute函數沒有任何的權限控制，因此可以被任何人調用。這個execute函數其實是一個底層調用，通過這個底層調用，攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

在這次攻擊中，攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

資產追蹤

據CertiKSkyTrace顯示，4月8日凌晨5點，黑客已順利將所盜資金轉移至TornadoCash。

其他細節

漏洞交易：

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

寫在最后

此次事件可通過安全審計發現相關風險。通過審計，可以查出這個函數是所有人都可以調用的，并且是一個底層調用。

在此，CertiK的安全專家建議：

在開發過程中，應該注意函數的Visibility。如果函數中有特殊的調用或邏輯，需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑，其根本原因和這次攻擊一樣，都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了3200家企業客戶的認可，保護了超過3110億美元的數字資產免受損失。

歡迎點擊CertiK公眾號底部對話框，留言免費獲取咨詢及報價！

Tags：REASTRSTARSSTARcream幣還有價值嗎ASTR幣總發行量及前景AvastarsStar Trek

比特幣