STARS:黑客能調用，你和我也可以？Starstream被盜1500萬美元事件分析_STA

北京時間4月8日凌晨01:43:36，CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用，致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約，并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護，由STARS進行維護并治理。

凌晨04:36，另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

報告：到目前為止，朝鮮黑客已竊取高達10億美元的加密貨幣:4月7日消息，根據美國國家安全委員會的一份2022年年度報告，朝鮮黑客竊取的虛擬資產從6.3億美元到10億多美元不等，這一數字是2021年被盜金額的兩倍。該小組在報告中指出：“朝鮮利用日益復雜的網絡技術進入涉及網絡金融的數字網絡，并竊取有潛在價值的信息，包括其武器計劃。”

雖然加密黑客有時可以被追蹤，這取決于黑客是否留下犯罪蹤跡，但根據該報告，基本的加密貨幣和區塊鏈特性使追蹤變得更加困難。該報告補充說：“非法獲得的虛擬資產受到區塊鏈的匿名性和通過加密貨幣交易所混淆資產通道的保護。”

報告最后還鼓勵成員國遵守FATF的指導方針，以遏制被盜加密貨幣資金不斷增長。（Bitcoinist）[2023/4/8 13:50:56]

合約漏洞分析

東營市首起利用黑客技術盜竊比特幣案件告破:12月16日消息，東營市局東營分局偵破一起“黑客”犯罪案件，也是東營市“凈網”行動以來偵破的首起利用黑客技術盜竊比特幣案件。2020年7月13日，東營分局網安大隊接群眾報警稱其網絡賬戶疑似被人非法入侵，帳號內價值三萬余元的比特幣被盜走。根據報警人陳述，其賬號被盜的網站是一境外網購網站，可使用比特幣進行交易，這是東營分局首次接到此類虛擬貨幣被盜的案件。綜合相關線索，民警最終鎖定但某某有重大嫌疑，并火速趕往浙江臺州將其抓獲。但某某對利用黑客技術入侵云服務器盜取他人賬戶內比特幣的行為供認不諱，目前犯罪嫌疑人被東營分局依法采取刑事強制措施，案件正在進一步辦理中。[2020/12/16 15:22:08]

沒有任何的權限控制，因此可以被任何人調用。這個execute函數其實是一個底層調用，通過這個底層調用，攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

觀點：推特黑客攻擊事件表明調查加密貨幣比法幣更容易:Cointelegraph 8月5日發文稱，推特黑客攻擊事件表明調查加密貨幣比法幣更加容易。在8月4日舉行的加密貨幣行業法律合規小組會議上，一些重要人物指出，公眾對該行業的看法最近發生了轉變。他們指出，推特遭黑客攻擊后幾周內被捕的事件，證明了區塊鏈分析在解決犯罪問題上非常有效。Chainalysis聯合創始人Jonathan Levin表示，各機構都在積極權衡如何使用加密貨幣。此外，該委員會進行的一項聽眾調查發現，缺乏監管指導是金融機構使用加密貨幣的主要障礙。[2020/8/5]

在這次攻擊中，攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

TornadoCash。

其他細節

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

在開發過程中，應該注意函數的Visibility。如果函數中有特殊的調用或邏輯，需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑，其根本原因和這次攻擊一樣，都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了3200家企業客戶的認可，保護了超過3110億美元的數字資產免受損失。

歡迎點擊CertiK公眾號底部對話框，留言免費獲取咨詢及報價！

Tags：REASTARSTARSSTAUnreal Governance TokenStarship DogeAllStars DigitalWSTA

世界幣