北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
交行辟谣:不存在黑客入侵,不存在客户信息泄漏:据部分自媒体报道,有黑客在国外某论坛上发帖,以8.8BTC(比特币)的总价售卖交通银行1679万个客户信息。以3.5万美元的单价计算,金额超过200万人民币。
1月11日,交通银行表示,近日,我行监测到,有不法分子在暗网发帖贩卖所谓交行客户信息,并有部分自媒体转发相关信息。经系统核查比对,确认与我行真实客户信息不符。交通银行郑重声明,不存在黑客入侵,不存在客户信息泄漏。我行已就相关违法行为向部门报案,依法追究损害我行商誉行为的法律责任。[2021/1/11 15:52:51]
合约漏洞分析
动态 | 越南加密货币交易所VinDAX被黑客入侵,损失了至少500万美元的加密货币:越南鲜为人知的加密货币交易所VinDAX被黑客入侵,损失了至少500万美元的加密货币 ,该交易所主要从事区块链项目的代币销售 。一位名为“@VinDAXSupport”的VinDAX官方电报频道管理员上周五证实,该交易所确实遭到了黑客攻击,损失了价值不菲的加密货币。他们说,入侵发生在“三天前”。(theblockcrypto)[2019/11/8]
没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
动态 | 黑客利用Xbash恶意软件进行挖矿:降维安全实验室关注到一款新的恶意软件Xbash,能够入侵Linux和Windows服务器,并挖掘加密货币,Xbash通过弱口令和未修补的漏洞来入侵Windows系统并在企业和家庭内网进行快速传播。此外,Xbash还可以删除基于Linux的数据库,并以恢复数据之名,勒索比特币赎金。
Xbash具有代码编译,代码压缩转换以及代码加密等反检测功能,以对抗反恶意软件查杀。降维安全实验室发现Xbash勒索软件挖掘的加密货币金额约6000美元。如果你想了解更多相关资讯,请联系降维安全实验室。[2018/9/18]
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
TornadoCash。
其他细节
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。