BTC/HKD-0.63%
ETH/HKD+1.03%
LTC/HKD+0.91%
DOT/HKD-0.34%
ADA/HKD-0.49%
SOL/HKD-0.74%
XRP/HKD-0.93%
DOGE/US-0.59%北京時間4月8日凌晨01:43:36,CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用,致使約1500萬美元的資產受到損失。
黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約,并向其借入了包括Metis、WETH和m.USDC在內的多種資產。
Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護,由STARS進行維護并治理。
凌晨04:36,另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。
Atomic錢包CEO:攻擊是由專業黑客團隊組織:6月7日消息,Atomic 錢包首席執行官 Konstantin Gladych 表示,團隊現在正在收集受影響用戶的數據,并將其傳遞給 Chainalysis、Crystal 和 Elliptic 等區塊鏈分析公司,且部分資金轉入交易所后已被凍結,這次攻擊絕對是由一支專業黑客團隊組織的,他們正在使用腳本、資金拆分、混幣器等手段。
此前報道,Atomic 錢包攻擊者已將被盜的加密貨幣轉移到混幣器 Sinbad 中,并正在被兌換為比特幣,該混幣器之前曾用于洗白被朝鮮黑客組織 Lazarus Group 竊取的超過 1 億美元的加密資產。[2023/6/7 21:20:43]
合約漏洞分析
Tezos將于7月10日開啟面向亞太地區的黑客松活動TezAsia:6月30日消息,Tezos India與Tezos APAC合作組織了一場黑客馬拉松,該活動將持續一個月的時間來推向市場。名為TezAsia Hackathon的Hackathon將于7月10日開始,覆蓋亞太地區(APAC),報名截止日期為7月8日。
本次黑客松將根據多種主題進行安排,涵蓋DeFi、NFT、游戲和電子錢包,并分為DeFi和NFT、游戲和電子錢包兩個主題。獎金池共計20萬美元,結果將于8月16日公布。[2022/6/30 1:41:46]
沒有任何的權限控制,因此可以被任何人調用。這個execute函數其實是一個底層調用,通過這個底層調用,攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。
通過入侵加密交易所等手段 朝鮮黑客收入已超20億美元:朝鮮正通過入侵加密貨幣交易所、國際金融交易網絡、ATM機系統來獲取資金,估計朝鮮黑客收入已超20億美元。今年有報告稱,2015年至今,朝鮮黑客已竊取了價值15億美元的加密貨幣。(news.joins)[2020/9/4]
在這次攻擊中,攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。
TornadoCash。
其他細節
https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers
攻擊者地址:
https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions
攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts
DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts
StarstreamTreasury合約:
https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts
Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts
在開發過程中,應該注意函數的Visibility。如果函數中有特殊的調用或邏輯,需要確認函數是否需要相應的權限控制。
前段時間有大量的項目因publicburn()函數而被黑,其根本原因和這次攻擊一樣,都是由于缺乏必要的權限控制所導致。
作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。
歡迎點擊CertiK公眾號底部對話框,留言免費獲取咨詢及報價!
Tags:STAREASTARSSTARSTATIC價格EnreachDAOTradeStars星鏈幣starl會漲1元
Gate.ioDailyHODL&EarnUSDG#385willlaunchat4:00UTConApril8atGate.io''s“HODL&Earn”.
1900/1/1 0:00:00親愛的用戶們: AAX即將上線Bobcoin(BOBC),詳情如下:充值開放時間:2022年4月12日17:00提幣開放時間:2022年4月13日17:00交易開放時間:2022年4月13日17.
1900/1/1 0:00:00尊敬的AAX用戶: AAX將開啟第八期AAB特享理財加息活動,最高可享100%超高年化。本期活動幣種為AAB/BTC/ETH/USDT/USDC/UST/MATIC,詳情如下:活動時間:2022.
1900/1/1 0:00:00pow又來已久,從概念上最早可以追溯到1993年,那么正式出現則是在1993年的《ProofsofworkandBreadPuddingProtocols》的論文當中.
1900/1/1 0:00:00親愛的BitMart用戶,?Solar(SOLAR)已于2022年3月24日17:00(香港時間)上線BitMart!為慶祝SOLAR上線.
1900/1/1 0:00:00尊敬的XT.COM用戶:XT.COM作為致力於為全球優質的數字資產提供優質服務的交易平臺。平臺會定期對已上線的幣種進行綜合性審核,以確保平臺幣種的高水準交易.
1900/1/1 0:00:00
以太幣交易所
