黑客能調用，你和我也可以？Starstream被盜1500萬美元事件分析_REA

北京時間4月8日凌晨01:43:36，CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用，致使約1500萬美元的資產受到損失。

黑客隨后將盜取的STARS代幣存入AgoraDeFi的借貸合約，并向其借入了包括Metis、WETH和m.USDC在內的多種資產。

Starstream是基于MetisLayer-2rollup的一個可提供及產生聚合收益的產品。該協議由不同的開發者維護，由STARS進行維護并治理。

時間線

北京時間4月8日凌晨02:47，一位用戶擔心Starstream的風險，于是在推特上發布了相關截圖。隨后，凌晨03:11，有人在StarstreamDiscord社群宣布資金庫已被耗盡，并建議用戶們盡快將自己的資產于Agora中提出。

香港金管局：穩定幣的波動性或會蔓延到傳統金融領域:11月22日消息，香港金融管理局發布題為《評估從加密貨幣到傳統金融資產的波動溢出:資產支持的穩定幣的作用》的研究報告。報告稱，由于傳統金融資產的支持提供了穩定的價值，資產支持的穩定幣在加密生態系統中發揮著關鍵作用。然而，這些穩定幣與貨幣市場基金有著類似的流動性錯配風險，這可能會使它們在加密生態系統不穩定時面臨儲備資產的賤賣，進而增加這些儲備資產的波動性。在極端情況下，穩定幣或其他加密資產的失敗可能導致資產支持的穩定幣的大規模贖回和其儲備資產的甩賣，可能對傳統金融系統造成重大影響。

報告稱，隨著加密生態系統不斷擴大，并越來越多地暴露在金融部門，加密貨幣和傳統金融資產之間的聯系可能會變得更強，可能會增加上述討論的風險溢出。重要的是，加密生態系統在很大程度上仍處于監管機構的監管之外，巨大的數據缺口阻礙了他們對溢出風險的評估。[2022/11/22 7:56:45]

凌晨04:36，另一位發言者于StarstreamDiscord社群的GeneralStarstreamDiscord聊天區中表示"ExecuteFunction"函數存在漏洞風險。

Aptos代幣經濟學疑似泄露，其中51.02%的代幣分配給社區:10月18日消息，The Block研究副總裁Larry Cermak發推表示，加密交易所Upbit疑似意外在他們的Aptos PDF報告中泄露了Aptos代幣經濟學。根據對應圖表，51.02%的代幣分配給社區、16.5%分配給基金會、19%分配給核心貢獻者、13.48%分配給投資人。[2022/10/18 17:30:41]

攻擊流程

攻擊者調用合約并調用了Distributortreasury合約中的外部函數`execute()`。由于該函數為外部函數，可以被任何人調用，因此攻擊者順利將STARS代幣從Starstream轉移到自己賬戶。

研究顯示新加坡是全球對NFT最感興趣的國家:金色財經報道，Cashnetusa.com的一項新的研究顯示，新加坡對“NFT”的搜索量比其他任何國家或地區都多，每百萬居民每月搜索量為18,717次。研究人員解釋說，目前，黑山被認為是全球最支持NFT的國家，而歐洲國家波蘭是反NFT的。波蘭每1000條以NFT為主題的推文中有227條被發現是有負面的情緒。（Bitcoin.com）[2022/7/6 1:54:02]

合約漏洞分析

此次漏洞發生的根本原因是：Distributorytreasury合約中的execute函數沒有任何的權限控制，因此可以被任何人調用。這個execute函數其實是一個底層調用，通過這個底層調用，攻擊者能夠以Distributorytreasury合約身份調用Starstreamtreasury合約的特權函數。

風險投資家Tim Draper：看好比特幣，因其具有對沖通脹特性:5月21日消息，風險投資家Tim Draper在接受采訪時表示，在加密貨幣和傳統市場正在經歷的下行走勢中，比特幣的重要性與它的通脹對沖特性有關。他稱：“我仍然看好比特幣，因為它是對沖通脹的好工具，而且隨著投機者離開，比特幣走勢將與科技股背離。我相信，只要利率持續上升，科技股就會繼續下跌。”Draper將比特幣視為一種對沖通脹的資產，并認為這種特性只有在長期內才能得到升值。此外他還稱，比特幣提供了一個防范糟糕治理和過多監管的避風港。（CNBC）[2022/5/21 3:32:44]

在這次攻擊中，攻擊者通過execute函數以Distributorytreasury的身份取走了在Starstreamtreasury中的所有STARS代幣。

資產追蹤

據CertiKSkyTrace顯示，4月8日凌晨5點，黑客已順利將所盜資金轉移至TornadoCash。

其他細節

漏洞交易：

https://andromeda-explorer.metis.io/tx/0xb1795ca2e77954007af14d89814c83b2d4f05d1834948f304fd9d731db875435/token-transfers

攻擊者地址：

https://andromeda-explorer.metis.io/address/0xFFD90C77eaBa8c9F24580a2E0088C0C940ac9C48/transactions

攻擊地址合約:https://andromeda-explorer.metis.io/address/0x75381c1F12733FFf9976525db747ef525646677d/contracts

DistributorTreasury合約:https://andromeda-explorer.metis.io/address/0x6f99b960450662d67bA7DCf78ac959dBF9050725/contracts

StarstreamTreasury合約:

https://andromeda-explorer.metis.io/address/0x1075daD8CFd8bCbCfc7bEB234e23D507990C90e9/contracts

Starstream(STARS)代幣合約https://andromeda-explorer.metis.io/address/0xb26F58f0b301a077cFA779c0B0f8281C7f936Ac0/contracts

寫在最后

此次事件可通過安全審計發現相關風險。通過審計，可以查出這個函數是所有人都可以調用的，并且是一個底層調用。在此，CertiK的安全專家建議：

在開發過程中，應該注意函數的Visibility。如果函數中有特殊的調用或邏輯，需要確認函數是否需要相應的權限控制。

前段時間有大量的項目因publicburn()函數而被黑，其根本原因和這次攻擊一樣，都是由于缺乏必要的權限控制所導致。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了3200家企業客戶的認可，保護了超過3110億美元的數字資產免受損失。

Tags：REASTARSTRSTARSSTREAM幣starknet幣價分析Block Farming Industrystars幣最新消息

火必