安全公司：Starstream Finance被黑簡析

4月8日消息，據Agora DeFi消息，受 Starstream 的 distributor treasury 合約漏洞影響，Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數，此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時，StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。

2. 新的 DistributorTreasury 合約中存在 execute 函數，而任意用戶都可以通過此函數進行外部調用，因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。

3. 攻擊者將 STARS 抵押至 Agora DeFi 中，并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。

安全公司：Punk Protocol被黑因其CompoundModel的Initialize函數未做重復初始化檢查:據慢霧區消息，去中心化年金協議 Punk Protocol 在公平啟動的過程中遭遇攻擊，慢霧安全團隊以簡訊形式將攻擊原理分享如下：

1.攻擊者調用CompoundModel合約的Initialize函數進行重復初始化操作，將合約Forge角色設置為攻擊者指定的地址。

2.隨后攻擊者為了最大程度的將合約中資金取出，其調用了invest函數將合約中的資金抵押至Compound中，以取得抵押憑證cToken。

3.最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取到對應的底層資產并最終將其轉給Forge角色。

4.withdrawToForge函數被限制只有Forge角色可以調用，但Forge角色已被重復初始化為攻擊者指定的地址，因此最終合約管理的資產都被轉移至攻擊者指定的地址。總結：本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查，導致攻擊者直接調用此函數進行重復初始化替換Forge角色，最終造成合約管理的資產被盜。

總結：本次攻擊的根本原因在于其 CompoundModel 的 Initialize 函數未做重復初始化檢查，導致攻擊者直接調用此函數進行重復初始化替換 Forge 角色，最終造成合約管理的資產被盜。[2021/8/12 1:51:06]

動態 | 加密安全公司Fireblock新增針對5個交易所的集成:9月5日，加密安全公司Fireblock宣布增加了對 OKCoin、OKEx、Korbit、Bithub和HitBTC 5個交易所的集成，還擴展了對Huobi Global的API和Deribit的集成，用于確保數字資產的轉移，使其覆蓋的平臺總數達到20個。（prnewswire）[2019/9/6]

聲音 | 安全公司：主流交易所普遍存在高危Token 占比超14%:據“PeckShield安全評級”公開數據顯示：通過對市值靠前的350個Token進行安全審計發現，目前主流交易所普遍存在一些評級為高危的Token，平均占比超過14%。若該交易所上線所審計350個Token中的大多數，其高危Token量很可能超過40個，其中不乏有諸多市值上億的Token，一旦相關漏洞遭黑客攻擊，將給交易所和用戶帶來巨大的資產安全威脅。[2018/8/20]