链捕手消息，以太坊二层网络Metis上的收益聚合器 Starstream 今日凌晨受其 distributor treasury 合约漏洞影响，被盗超 5 亿枚 STARS ，随后攻击者将 STARS 抵押至借贷协议 Agora DeFi 中并借出 USDC、METIS 等资产，共造成 Agora DeFi 损失约 820 万美元。 据慢雾分析，在 Starstream 的 StarstreamTreasury 合约中存在 withdrawTokens 函数，此函数只能由 owner 调用以取出合约中储备的资金。而在 4 月 7 日晚，StarstreamTreasury 合约的 owner 被转移至新的 DistributorTreasury 合约(0x6f...25)，该合约存在 execute 函数，而任意用户都可以通过此函数进行外部调用，因此攻击者直接通过此函数调用 StarstreamTreasury 合约中的 withdrawTokens 函数取出合约中储备的 5.3 亿个 STARS。（来源链接）