据Agora DeFi消息,受Starstream的distributor treasury合约漏洞影响,Agora DeFi中的价值约820万美金的资产被借出。慢雾安全团队分析表示指出:
1. 在Starstream的StarstreamTreasury合约中存在withdrawTokens函数,此函数只能由owner调用以取出合约中储备的资金。4月7日,StarstreamTreasury合约的owner被转移至新的DistributorTreasury合约(0x6f...25)。
2. 新的DistributorTreasury合约中存在execute函数,而任意用户都可以通过此函数进行外部调用,因此攻击者直接通过此函数调用StarstreamTreasury合约中的withdrawTokens函数取出合约中储备的532,571,155.859个STARS。
3. 攻击者将STARS抵押至Agora DeFi中,并借出大量资金。一部分借出的资金被用于拉高市场上STARS的价格以便借出更多资金。
