據Agora DeFi消息,受Starstream的distributor treasury合約漏洞影響,Agora DeFi中的價值約820萬美金的資產被借出。慢霧安全團隊分析表示指出: 1. 在Starstream的StarstreamTreasury合約中存在withdrawTokens函數,此函數只能由owner調用以取出合約中儲備的資金。 4月7日,StarstreamTreasury合約的owner被轉移至新的DistributorTreasury合約(0x6f…25)。 2. 新的DistributorTreasury合約中存在execute函數,而任意用戶都可以通過此函數進行外部調用,因此攻擊者直接通過此函數調用StarstreamTreasury合約中的withdrawTokens函數取出合約中儲備的532,571,155.859個STARS。 3. 攻擊者將STARS抵押至Agora DeFi中,並藉出大量資金。一部分借出的資金被用於拉高市場上STARS的價格以便藉出更多資金。
dark