STARS:黑客能調用，你和我也可以？Starstream被盜1500萬美元事件分析-ODAILY

北京時間4月8日凌晨01:43:36，CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用，致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約，并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護，由STARS進行維護并治理。

時間線

北京時間4月8日凌晨02:47，一位用戶擔心Starstream的風險，于是在推特上發布了相關截圖。隨后，凌晨03:11，有人在StarstreamDiscord社群宣布資金庫已被耗盡，并建議用戶們盡快將自己的資產于Agora中提出。

Angle Protocol：受黑客攻擊影響的USDC約1752萬美元，DAO仍持有近2000萬美元代幣:3月15日消息，去中心化穩定幣協議 Angle Protocol 已根據鏈上信息準備 Euler Finance 黑客攻擊事件后協議的詳細概述，其中受影響的 USDC 約為 1752 萬美元，目前 DAO 所持有的代幣總價值（包含 agEUR）約 1959 萬美元，團隊正在密切監視情況并與當局合作，提供所能提供的一切幫助來調查黑客攻擊，將在收到更新后立即分享。[2023/3/15 13:05:57]

凌晨04:36，另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

BitKeep：用戶資金被盜疑似因下載了被黑客劫持的APK版本:12月26日消息，Web3多鏈錢包BitKeep發布公告稱，經過團隊初步排查，疑似部分APK包下載被黑客劫持，安裝了被黑客植入代碼的包。如用戶資金出現被盜情況，用戶下載或者更新的應用或許是被劫持的不明版本（非官方發布版本）。現在出于用戶資金安全的謹慎考慮，如用戶下載的是APK版本，請將資金轉移至其他官方商店（App Store或Google Play）下載的錢包中。此外，建議使用新創建的錢包地址，用戶通過APK創建的地址或有可能泄漏給了黑客。BitKeep發布提示稱：“如條件允許，請務必使用蘋果或谷歌官方商店下載和使用BitKeep錢包，以確保您的資產安全。”

金色財經此前報道，多名用戶在其官方Telegarm群中稱其資金被盜，BitKeep團隊稱如因平臺原因導致的資產損失，BitKeep安全基金將進行全額賠付。[2022/12/26 22:07:50]

比特幣黃金遭黑客攻擊：可能損失1800萬美元:據新浪科技報道，比特幣黃金的開發團隊近期公布了上周比特幣黃金遭遇攻擊的詳情：攻擊者是通過獲得了網絡算力的大部分控制權，利用這些算力重組了比特幣黃金的區塊鏈，并進行反向交易，從而竊取了數字貨幣交易所中的資金。如果所有交易中的資金都被盜取，那么攻擊者可以從中獲利1800萬美元。同時，項目開發者表示，比特幣黃金已計劃遷移至能夠大幅提升網絡安全的新算法。[2018/5/28]

攻擊流程

攻擊者調用合約并調用了Distributortreasury合約中的外部函數`execute()`。由于該函數為外部函數，可以被任何人調用，因此攻擊者順利將STARS代幣從Starstream轉移到自己賬戶。

合約漏洞分析

此次漏洞發生的根本原因是：Distributorytreasury合約中的execute函數沒有任何的權限控制，因此可以被任何人調用。這個execute函數其實是一個底層調用，通過這個底層調用，攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

黑客獲得比特幣黃金（BTG）錢包的Github存儲庫訪問權限 :據了解，BTG發送了一個重要警告，稱部分Windows版本的Github中存在一個可疑的原始文件。BTG警告用戶:“除非我們了解這個文件的作用，否則所有的用戶都應該假定這個文件是惡意的，可以竊取加密貨幣和/或用戶信息。雖然該文件不會觸發反病/反惡意軟件軟件，但不要認為該文件是安全的。”[2017/11/27]

在這次攻擊中，攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

資產追蹤

據CertiKSkyTrace顯示，4月8日凌晨5點，黑客已順利將所盜資金轉移至TornadoCash。

其他細節

漏洞交易：

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

寫在最后

此次事件可通過安全審計發現相關風險。通過審計，可以查出這個函數是所有人都可以調用的，并且是一個底層調用。

在此，CertiK的安全專家建議：

在開發過程中，應該注意函數的Visibility。如果函數中有特殊的調用或邏輯，需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑，其根本原因和這次攻擊一樣，都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了3200家企業客戶的認可，保護了超過3110億美元的數字資產免受損失。

歡迎點擊CertiK公眾號底部對話框，留言免費獲取咨詢及報價！

Tags：REASTARSTARSSTAREALNANCEstart幣最新消息WinStarsstarlink幣銷毀機制

歐易交易所app官網下載