REA:黑客能调用，你和我也可以？Starstream被盗1500万美元事件分析

北京时间4月8日凌晨01:43:36，CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用，致使约1500万美元的资产受到损失。

黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约，并向其借入了包括Metis、WETH和m.USDC在内的多种资产。

Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护，由STARS进行维护并治理。

时间线

北京时间4月8日凌晨02:47，一位用户担心Starstream的风险，于是在推特上发布了相关截图。随后，凌晨03:11，有人在StarstreamDiscord社群宣布资金库已被耗尽，并建议用户们尽快将自己的资产于Agora中提出。

Downdetector：OpenAI发生若干故障:金色财经报道，据网络监测网站Downdetector，一名用户报告称，OpenAI发生若干故障。[2023/4/19 14:11:46]

凌晨04:36，另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。

攻击流程

攻击者调用合约并调用了Distributortreasury合约中的外部函数`execute()`。由于该函数为外部函数，可以被任何人调用，因此攻击者顺利将STARS代币从Starstream转移到自己账户。

安全公司Dedaub因披露Uniswap重入漏洞获得4万美元漏洞赏金:1月3日消息，安全公司 Dedaub 团队宣布获得 Uniswap Labs 的 4 万枚 USDC 安全漏洞赏金，因为其披露 Uniswap 的一个严重漏洞，该漏洞有重入并耗尽用户的资金的可能性。不过，Uniswap 团队已解决该漏洞并在所有链上重新部署了 Universal Router 智能合约，资金是安全的。

Uniswap 在 2022 年 11 月份发布通用路由器Universal Router智能合约，可将 ERC20 和 NFT 兑换统一到一个交换路由器中，用户可以执行异构操作，例如，在一笔交易中交换多个 Token 和 NFT。

Dedaub 表示，该路由器为各种 Token 操作嵌入了脚本语言，此类命令可能包括向第三方（可能不受信任的）接收人的传输。如果在传输过程中的任何时候调用第三方代码，该代码可以重新进入 UniversalRouter 并在合约中临时认领任何 Token。Dedaub 建议 Uniswap 为新路由器的核心执行添加一个重入锁，并重新部署。[2023/1/4 9:50:22]

合约漏洞分析

FLOW链上交易活动大幅下降，原生Token已跌至0.89美元历史新低:金色财经报道，支持NBATopShot的区块链FLOW交易活动近期大幅下降，coingecko数据显示其原生Token FLOW也跌至0.89美元，创下历史新低，过去7天跌幅为14.8%，过去30天跌幅达到26.6%。相较于2021年4月创下的42美元峰值，当前FLOW价格已缩水98%。

此外，FLOW链上交易额已从9月的3900万美元跌至11月的770万美元，其中NBATopshot在11月更是创下两年交易额新低，不到210万美元，而NFLAll Day上月交易额则跌至360万美元。（decrypt）[2022/12/16 21:48:19]

此次漏洞发生的根本原因是：Distributorytreasury合约中的execute函数没有任何的权限控制，因此可以被任何人调用。这个execute函数其实是一个底层调用，通过这个底层调用，攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。

美国参议员候选人：比特币的供应限制使其可与美元竞争:金色财经报道，美国新罕布什尔州参议员候选人布鲁斯芬顿扩大了对BTC的支持，同时反对任何政府参与监管该资产。

芬顿指出，政府不应参与大众的货币选择，因为他在 8 月 25 日的新罕布什尔州初选辩论中将美元等同于融化的冰块。 根据芬顿的说法，当前的货币体系已经崩溃，理由是美联储印钞的政策。他表示，比特币的供应限制使其可与美元竞争。（finbold）[2022/8/26 12:50:52]

在这次攻击中，攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。

资产追踪

据CertiKSkyTrace显示，4月8日凌晨5点，黑客已顺利将所盗资金转移至TornadoCash。

其他细节

漏洞交易：

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻击者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合约:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

写在最后

此次事件可通过安全审计发现相关风险。通过审计，可以查出这个函数是所有人都可以调用的，并且是一个底层调用。在此，CertiK的安全专家建议：

在开发过程中，应该注意函数的Visibility。如果函数中有特殊的调用或逻辑，需要确认函数是否需要相应的权限控制。

前段时间有大量的项目因publicburn()函数而被黑，其根本原因和这次攻击一样，都是由于缺乏必要的权限控制所导致。

作为区块链安全领域的领军者，CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止，CertiK已获得了3200家企业客户的认可，保护了超过3110亿美元的数字资产免受损失。

标签：REASTASTARSTARSReality Clash CoinParaStateARCSTARAvastars

欧易交易所热门资讯