STARS:黑客能調用，你和我也可以？Starstream被盜1500萬美元事件分析-ODAILY_TradeStars

北京時間4月8日凌晨01:43:36，CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用，致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約，并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護，由STARS進行維護并治理。

時間線

北京時間4月8日凌晨02:47，一位用戶擔心Starstream的風險，于是在推特上發布了相關截圖。隨后，凌晨03:11，有人在StarstreamDiscord社群宣布資金庫已被耗盡，并建議用戶們盡快將自己的資產于Agora中提出。

Azuki官推遭黑客入侵，目前官方已恢復其賬號控制權:據官方消息，藍籌NFT項目Azuki官方推特賬號于今日凌晨遭到黑客入侵，發布一系列虛假“Azuki項目土地Mint”信息及鏈接，目前官方已恢復其賬號控制權，第一時間發布公告并刪除相關推文及鏈接，Azuki開發團隊ChiruLabs表示正在與Twitter聯系并調查此次違規事件。[2023/1/28 11:33:35]

凌晨04:36，另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

數據：2022年黑客攻擊事件已達275起，損失資金超35億美元:11月1日消息，慢霧SlowMist在社交媒體上發文表示，2022年加密領域因黑客攻擊事件導致的資金損失已超35億美元。據其數據顯示，今年全年已發生共計275起黑客攻擊事件。[2022/11/1 12:06:17]

攻擊流程

攻擊者調用合約并調用了Distributortreasury合約中的外部函數`execute()`。由于該函數為外部函數，可以被任何人調用，因此攻擊者順利將STARS代幣從Starstream轉移到自己賬戶。

合約漏洞分析

此次漏洞發生的根本原因是：Distributorytreasury合約中的execute函數沒有任何的權限控制，因此可以被任何人調用。這個execute函數其實是一個底層調用，通過這個底層調用，攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

動態 | 黑客利用Xbash惡意軟件進行挖礦:降維安全實驗室關注到一款新的惡意軟件Xbash，能夠入侵Linux和Windows服務器,并挖掘加密貨幣，Xbash通過弱口令和未修補的漏洞來入侵Windows系統并在企業和家庭內網進行快速傳播。此外，Xbash還可以刪除基于Linux的數據庫，并以恢復數據之名,勒索比特幣贖金。

Xbash具有代碼編譯，代碼壓縮轉換以及代碼加密等反檢測功能，以對抗反惡意軟件查殺。降維安全實驗室發現Xbash勒索軟件挖掘的加密貨幣金額約6000美元。如果你想了解更多相關資訊，請聯系降維安全實驗室。[2018/9/18]

在這次攻擊中，攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

360伏爾甘團隊鄭文彬評黑客盜幣：有些交易所安全投入只有幾萬元:近日，韓國最大虛擬貨幣交易平臺Bithumb遭黑客入侵，約350億韓元（約合3200萬美元，2億人民幣）資產被盜。對此360集團助理總裁、360伏爾甘團隊負責人鄭文彬表示：目前可以說基本上所有區塊鏈公司的安全能力，都還不足以保護交易所和區塊鏈社區安全，還是需要有國際實力的安全公司加入。現在很多區塊鏈項目社區、數字貨幣交易所在安全上的投入僅僅有幾萬塊，一旦出現安全問題，損失動輒幾億，所以交易所和區塊鏈社區需要真正重視安全問題，加大事前投入而不是僅僅是事后彌補。[2018/6/21]

資產追蹤

據CertiKSkyTrace顯示，4月8日凌晨5點，黑客已順利將所盜資金轉移至TornadoCash。

其他細節

漏洞交易：

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

寫在最后

此次事件可通過安全審計發現相關風險。通過審計，可以查出這個函數是所有人都可以調用的，并且是一個底層調用。

在此，CertiK的安全專家建議：

在開發過程中，應該注意函數的Visibility。如果函數中有特殊的調用或邏輯，需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑，其根本原因和這次攻擊一樣，都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了3200家企業客戶的認可，保護了超過3110億美元的數字資產免受損失。

歡迎點擊CertiK公眾號底部對話框，留言免費獲取咨詢及報價！

Tags：REASTASTARSSTRReadFiStakerDAOTradeStarsSTREAM價格

FTX