北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失。
黑客随后将盗取的STARS代币存入AgoraDeFi的借贷合约,并向其借入了包括Metis、WETH和m.USDC在内的多种资产。
Starstream是基于MetisLayer-2rollup的一个可提供及产生聚合收益的产品。该协议由不同的开发者维护,由STARS进行维护并治理。
凌晨04:36,另一位发言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天区中表示"ExecuteFunction"函数存在漏洞风险。
ZT创新板即将上线DID:据官网公告,ZT创新板即将上线DID,已经开启DID充值,并于5月13日18:00开启DID/USDT交易对。
DID为打造去中心化加密支付银行,打造轻量、开放,自由的金融世界,基于程序化筛选自动高收益并提供市场最新最优收益策略表。
ZT数字资产交易平台是一家全球性的数字资产交易服务商,致力于为全球用户打造创新型热门数字资产首发地。[2021/5/12 21:54:17]
合约漏洞分析
没有任何的权限控制,因此可以被任何人调用。这个execute函数其实是一个底层调用,通过这个底层调用,攻击者能够以Distributorytreasury合约身份调用Starstreamtreasury合约的特权函数。
ZT智能链ZSC 21个超级节点产生,于5月12日发放收益:据官方消息,ZT智能链ZSC的21个超级节点已经产生,相关名单已公布于官网。
用户可在奖励页面为节点继续投票获得节点奖励,于5月12日开始发放收益,质押ZTB将于2022年05月12日开启解锁。
超级节点将根据区块高度获得区块奖励,每3秒产生一个区块,每个区块奖励0.808枚ZTB,即每分钟产生16.16枚ZTB,全年(365天)共产生8493696?枚ZTB。超级节点将根据总投票数的比例瓜分区块奖励;用户按照投票数占所投节点总投票数的比例瓜分此奖励。[2021/5/12 21:54:03]
在这次攻击中,攻击者通过execute函数以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代币。
动态 | ZT?Global与多个社区达成战略合作:据官方消息,ZT?Global已与鬼谷社区、澄江社区、魔鬼社区、钻石社区等社区达成了战略合作,并将在社区运营、资源共享、市场推广、优质项目孵化等领域展开深入合作。ZT?Global是一家全球性的数字资产交易服务商,总部位于开曼群岛,旨在为全球用户打造最安全、稳定、高效的数字资产交易平台。社区创始团队均来自于区块链行业顶尖新锐,社区主营包括区块链投资、社区运营、优质项目孵化等方面,致力于推动区块链行业的发展,共建行业优质生态。[2019/12/7]
TornadoCash。
其他细节
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻击者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻击地址合约:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合约:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合约:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代币合约https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
在开发过程中,应该注意函数的Visibility。如果函数中有特殊的调用或逻辑,需要确认函数是否需要相应的权限控制。
前段时间有大量的项目因publicburn()函数而被黑,其根本原因和这次攻击一样,都是由于缺乏必要的权限控制所导致。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。