PANews 4月8日消息,Agora DeFi稱,Starstream Finance受Starstream的distributor treasury合約漏洞影響,Agora DeFi中的價值約820萬美元的資產被借出。
慢霧安全團隊對此進行了分析。 1. 在Starstream的StarstreamTreasury合約中存在withdrawTokens函數,此函數只能由owner調用以取出合約中儲備的資金。而在4月7日23:58:24,StarstreamTreasury合約的owner被轉移至新的DistributorTreasury合約(0x6f...25)。 2. 新的DistributorTreasury合約中存在execute函數,而任意用戶都可以通過此函數進行外部調用,因此攻擊者直接通過此函數調用StarstreamTreasury合約中的withdrawTokens函數取出合約中儲備的532,571,155.859枚STARS。 3. 攻擊者將STARS抵押至Agora DeFi中,並藉出大量資金。一部分借出的資金被用於拉高市場上STARS的價格以便藉出更多資金。