STARS:黑客能調用，你和我也可以？Starstream被盜1500萬美元事件分析-ODAILY_STR

北京時間4月8日凌晨01:43:36，CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用，致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約，并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護，由STARS進行維護并治理。

時間線

北京時間4月8日凌晨02:47，一位用戶擔心Starstream的風險，于是在推特上發布了相關截圖。隨后，凌晨03:11，有人在StarstreamDiscord社群宣布資金庫已被耗盡，并建議用戶們盡快將自己的資產于Agora中提出。

數據：2022年DeFi生態黑客攻擊資金總價值超60億美元:2月5日消息，DefiLlama貢獻者、加密數據分析師Kofi提供的數據顯示，DeFi生態系統在2022年遭遇黑客攻擊激增，被盜資金總價值超過60億美元。

根據Kofi的說法，60億美元代表了加密資產最初被盜時的價值。加密分析師Nelson Ijih在推特上表示，如果包括其他“加密黑客攻擊”，這個數字甚至會更高。（U.Today）[2023/2/6 11:49:05]

凌晨04:36，另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

Nickydooodles.eth遭黑客攻擊，17枚ETH和Doodles等NFT藏品被竊:6月28日消息，據知名NFT創建人和沉浸式Web3項目Meta bergs創作者Nickydooodles.eth在社交媒體披露，其錢包遭到黑客攻擊，損失了17枚ETH（約合21,077美元）和全部NFT藏品，包括Goblintown NFT、Doodles NFT、Sandbox Land等。據Nickydooodles.eth稱，黑客使用了釣魚攻擊手段，之后還設法控制了他的個人Twitter帳戶。[2022/6/28 1:35:30]

攻擊流程

攻擊者調用合約并調用了Distributortreasury合約中的外部函數`execute()`。由于該函數為外部函數，可以被任何人調用，因此攻擊者順利將STARS代幣從Starstream轉移到自己賬戶。

動態 | EOS競猜游戲SKR EOS凌晨遭黑客攻擊:今日凌晨00:01-01:31之間，PeckShield安全盾風控平臺DAppShield監測到黑客向EOS競猜類游戲SKR EOS發起連續攻擊，獲利近六千個EOS。PeckShield安全人員初步研究發現，黑客利用游戲服務器解析參數問題，使得投注未中獎的EOS可被退回，進而實現百分百投注中獎。PeckShield安全人員在此提醒，開發者應在合約上線前做好安全測試，特別是要排除已知攻擊手段的威脅，必要時可尋求第三方安全公司協助，幫助其完成合約上線前攻擊測試及基礎安全防御部署。[2019/10/11]

合約漏洞分析

此次漏洞發生的根本原因是：Distributorytreasury合約中的execute函數沒有任何的權限控制，因此可以被任何人調用。這個execute函數其實是一個底層調用，通過這個底層調用，攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

分析 | 黑客掀起“奪寶”拉鋸戰 Fomo3D類游戲頻受阻塞攻擊:據PeckShield數據監測中心顯示，8月23日，昨日Fomo3D 10,469個ETH的獲得者“0xa169”，開始在多款類Fomo3D游戲（Last Winner、Peach Will、Super Card）上部署攻擊合約。

在山寨Fomo3D（Peach Will）的交易列表里，0xa169至少發起了10次以上的阻塞攻擊。由于該黑客通過提高gasprice獨霸礦池打包權的攻擊行為已經被曝光，每當其同時用15個錢包地址一并發出交易伺機擁堵以太坊網絡時，就會有“競爭者”以更高的gasprice阻斷其攻擊合約實施擁塞控制。

PeckShield分析人員認為，這樣已經嚴重損害了該類游戲的可玩性，使其淪為黑客間互相競技的搏斗場。長此以往，會透支游戲公信力，加速Fomo3D類游戲的衰亡。[2018/8/23]

在這次攻擊中，攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

資產追蹤

據CertiKSkyTrace顯示，4月8日凌晨5點，黑客已順利將所盜資金轉移至TornadoCash。

其他細節

漏洞交易：

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

寫在最后

此次事件可通過安全審計發現相關風險。通過審計，可以查出這個函數是所有人都可以調用的，并且是一個底層調用。

在此，CertiK的安全專家建議：

在開發過程中，應該注意函數的Visibility。如果函數中有特殊的調用或邏輯，需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑，其根本原因和這次攻擊一樣，都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了3200家企業客戶的認可，保護了超過3110億美元的數字資產免受損失。

歡迎點擊CertiK公眾號底部對話框，留言免費獲取咨詢及報價！

Tags：REASTARSTRSTARSStreakkASTAR幣STRAX價格STARSHIP

火幣交易所