Compañía de seguridad: un breve análisis de Starstream Finance siendo pirateada

[Compañía de seguridad: Breve análisis del hackeo de Starstream Finance] El 8 de abril, según noticias de Agora DeFi, debido a la vulnerabilidad del contrato de tesorería del distribuidor de Starstream, se prestaron activos por valor de aproximadamente 8,2 millones de dólares estadounidenses en Agora DeFi. El equipo de seguridad de SlowMist lo compartirá con usted en forma de boletín después de analizarlo.

1. Existe una función de retirada de tokens en el contrato StarstreamTreasury de Starstream, a la que solo puede llamar el propietario para retirar los fondos reservados en el contrato. Y el 7 de abril de 2022 a las 11:58:24 p. m. +8 UTC, el propietario del contrato StarstreamTreasury se transfirió al nuevo contrato DistributorTreasury (0x6f...25).

2. Hay una función de ejecución en el nuevo contrato de DistributorTreasury, y cualquier usuario puede realizar llamadas externas a través de esta función, por lo que el atacante llama directamente a la función de retiro de tokens en el contrato de StarstreamTreasury a través de esta función para retirar las 532,571,155,859 ESTRELLAS reservadas en el contrato.

3. El atacante hipoteca STARS a Agora DeFi y presta una gran cantidad de fondos. Una parte de los fondos prestados se utiliza para aumentar el precio de STARS en el mercado a fin de prestar más fondos.

Otras noticias:

La empresa de seguridad Blockchain CertiK lanzará la red principal CertiK el 24 de octubre: La empresa de seguridad Blockchain CertiK anunció que la red principal CertiKChain se lanzará el 24 de octubre de 2020 a las 22:24 hora de Beijing. Según informes anteriores, a mediados de septiembre, la Fundación CertiK abrió oficialmente CertiKChain. Los productos actualmente disponibles para su uso incluyen CertiKChain, un oráculo de seguridad CertiK descentralizado, un lenguaje de programación seguro y una cadena de herramientas de compilación. Cadena de herramientas DeepSEA para escribir contratos inteligentes seguros. [2020/10/22]

La firma de seguridad Unit 42 descubre un nuevo malware que Lucifer puede usarse para minería maliciosa y ataques DDoS: Los investigadores de la firma de seguridad Unit 42 han descubierto un nuevo malware "Lucifer" que se está propagando, que es una extensión de una antigua variante de ransomware de criptomonedas. La nueva variante se puede usar para la minería de criptomonedas maliciosa, pero también se puede usar para ataques DDoS. (Gurú 3d)[2020/6/27]

La empresa estadounidense de seguridad de redes McAfee especula que los piratas informáticos norcoreanos son responsables del robo del intercambio turco: según el informe del Wall Street Journal (WS), la empresa estadounidense de seguridad de redes McAfee informó el día 8 que se especula que Corea del Norte atacó a Turquía del 2 al 3 de este mes. Los intercambios, las instituciones financieras, los departamentos gubernamentales han llevado a cabo ataques cibernéticos. Y el informe señaló que "piratas informáticos desconocidos intentan robar la información de la cuenta de sus clientes mediante la creación de sitios web falsos similares a los nombres de los intercambios de criptomonedas". [2018/3/9]