CertiK首發 | 黑客能調用 你和我也可以？Starstream被盜1500萬美元事件分析

發表於 2022-04-09 12:34 作者： 區塊鏈情報速遞pro

北京時間4月8日凌晨01:43:36，CertiK安全技術團隊監測到收益聚合平台Starstream因其合約中的一個執行函數漏洞被惡意利用，致使約1500萬美元的資產受到損失。

黑客隨後將盜取的STARS代幣存入Agora DeFi的借貸合約，並向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基於MetisLayer-2 rollup的一個可提供及產生聚合收益的產品。該協議由不同的开發者維護，由STARS進行維護並治理。

時間线

北京時間4月8日凌晨02:47，一位用戶擔心Starstream的風險，於是在推特上發布了相關截圖。隨後，凌晨03:11，有人在Starstream Discord社群宣布資金庫已被耗盡，並建議用戶們盡快將自己的資產於Agora中提出。

凌晨04:36，另一位發言者於Starstream Discord社群的General Starstream Discord聊天區中表示"Execute Function "函數存在漏洞風險。

攻擊流程

攻擊者調用合約並調用了Distributor treasury合約中的外部函數`execute()`。由於該函數爲外部函數，可以被任何人調用，因此攻擊者順利將STARS代幣從Starstream轉移到自己账戶。

合約漏洞分析

此次漏洞發生的根本原因是：Distributory treasury合約中的execute函數沒有任何的權限控制，因此可以被任何人調用。這個execute函數其實是一個底層調用，通過這個底層調用，攻擊者能夠以Distributory treasury合約身份調用Starstream treasury合約的特權函數。

在這次攻擊中，攻擊者通過execute函數以Distributory treasury的身份取走了在Starstream treasury中的所有STARS代幣。

資產追蹤

據CertiK SkyTrace顯示，4月8日凌晨5點，黑客已順利將所盜資金轉移至Tornado Cash。

其他細節

漏洞交易：

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

Distributor Treasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

Starstream Treasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS) 代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

寫在最後

此次事件可通過安全審計發現相關風險。通過審計，可以查出這個函數是所有人都可以調用的，並且是一個底層調用。

在此，CertiK的安全專家建議：

在开發過程中，應該注意函數的Visibility。如果函數中有特殊的調用或邏輯，需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因public burn() 函數而被黑，其根本原因和這次攻擊一樣，都是由於缺乏必要的權限控制所導致。

標題：CertiK首發 | 黑客能調用 你和我也可以？Starstream被盜1500萬美元事件分析

地址：https://www.coinsdeep.com/article/2075.html

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。