黑客能調用，你和我也可以？Starstream被盜1500萬美元事件分析-ODAILY_REA

北京時間4月8日凌晨01:43:36，CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用，致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約，并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護，由STARS進行維護并治理。

時間線

北京時間4月8日凌晨02:47，一位用戶擔心Starstream的風險，于是在推特上發布了相關截圖。隨后，凌晨03:11，有人在StarstreamDiscord社群宣布資金庫已被耗盡，并建議用戶們盡快將自己的資產于Agora中提出。

Coinspect Security已確定Algorand生態錢包MyAlgo遭黑客攻擊的根本原因:3 月 19 日消息，區塊鏈安全公司 Coinspect Security 發文表示，通過與 Algorand 錢包 MyAlgo 合作，已確定 MyAlgo 被黑客攻擊的根本原因，即將官宣具體信息。目前，攻擊不再活躍、沒有利用應用程序錯誤或易受攻擊的代碼庫、不要濫用瀏覽器功能（例如自動填充）、私鑰加密并不弱、開源 MyAlgo 組件不受影響。此外，攻擊者解密私鑰是因為他們獲得了密碼，而不是由于加密漏洞，針對受影響用戶，建議立即更改錢包密碼，切勿重復使用。[2023/3/19 13:12:50]

網絡安全公司：朝鮮黑客組織Lazarus與新的加密貨幣黑客計劃有關:金色財經報道，網絡安全公司Volexity認為受到美國政府制裁的朝鮮黑客組織Lazarus與涉及使用加密站點感染系統以從第三方竊取信息和加密貨幣有關。Volexity博客文章顯示，Lazarus在6月注冊了一個名為bloxholder.com的域名，該域名后來被建立為提供自動加密貨幣交易服務的企業。Lazarus使用該站點作為網頁從用戶的系統中竊取私鑰和其他數據。

Volexity還發現，將此惡意軟件傳送給最終用戶的技術在10月份發生了變化。該方法演變為使用Office文檔，特別是包含宏的電子表格，這是一種嵌入文檔中的程序，旨在在計算機中安裝Applejeus惡意軟件。

金色財經此前報道，Lazarus 于2021 年 2 月被美國司法部 (DOJ)正式起訴，涉及與朝鮮情報組織偵察總局 (RGB) 有關聯的組織的一名特工。[2022/12/6 21:25:00]

凌晨04:36，另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

DeFi協議Sovryn發起黑客馬拉松以擴大其平臺:據Decrypt 6月7日消息，周五，基于比特幣的DeFi協議Sovryn發起了一場名為“Sovrython”的黑客馬拉松，以幫助擴大該平臺的規模，該平臺支持非托管比特幣借貸、融資、保證金交易和互換。與Gitcoin合作，Sovrython將在7月18日結束后為獲獎者提供50萬美元(其中一半是獎金，一半是贈款)。[2021/6/7 23:16:47]

攻擊流程

攻擊者調用合約并調用了Distributortreasury合約中的外部函數`execute()`。由于該函數為外部函數，可以被任何人調用，因此攻擊者順利將STARS代幣從Starstream轉移到自己賬戶。

動態 | 眾多項目啟動“道德黑客”賞金計劃 EOS今年上半年賞金超10萬美元:由于區塊鏈技術的不穩定性，大量黑客的攻擊事件證明了數字貨幣容易受到這一缺陷的影響。考慮到這一點，一些大規模項目已經啟動了它們的賞金計劃，以增強安全性和檢測漏洞，僅2018年7月就向“道德黑客”發放了2.45萬美元賞金。HackerOne數據顯示，EOS向“道德黑客”發放的獎金最多，2018年7月發放了1.25萬美元，2018年上半年總計超過10萬美元。Tron提供了7000美元，Augur提供了5000美元，而Monero選擇保留其匿名風格，沒有透露賞金數額。[2018/7/10]

合約漏洞分析

此次漏洞發生的根本原因是：Distributorytreasury合約中的execute函數沒有任何的權限控制，因此可以被任何人調用。這個execute函數其實是一個底層調用，通過這個底層調用，攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

在這次攻擊中，攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

資產追蹤

據CertiKSkyTrace顯示，4月8日凌晨5點，黑客已順利將所盜資金轉移至TornadoCash。

其他細節

漏洞交易：

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

寫在最后

此次事件可通過安全審計發現相關風險。通過審計，可以查出這個函數是所有人都可以調用的，并且是一個底層調用。

在此，CertiK的安全專家建議：

在開發過程中，應該注意函數的Visibility。如果函數中有特殊的調用或邏輯，需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑，其根本原因和這次攻擊一樣，都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了3200家企業客戶的認可，保護了超過3110億美元的數字資產免受損失。

歡迎點擊CertiK公眾號底部對話框，留言免費獲取咨詢及報價！

Tags：REASTRSTASTARrealmedicinesupplychainRSTR價格Statter NetworkSTARL

Fil