DODO攻击事件分析:搬起“石头”,竟砸了自己的脚?_中心化交易所:TPS

一、事件概览

北京时间2021年3月9日,根据舆情监测显示,去中心化交易所DODO上的wCRES/USDT资金池似乎被黑客攻击,转移走价值近98万美元的WrappedCRES和近114万美元的USDT。据DODO官方回复目前团队正在进行调查。

原文链接如下:

https://www.odaily.com/newsflashes/235047.html

Cosmos生态钱包Keplr推出2.0版本:5月31日消息,Cosmos 生态钱包 Keplr 推出 2.0 版本,Keplr 表示该版本是其推出以来最大的版本更新,具体更新内容包括单页查看所有资产、资产和链搜索功能、一键领取所有质押奖励等。[2023/5/31 11:50:32]

△图1?

成都链安安全团队第一时间针对该事件启动安全应急响应,并将事件细节分析进行梳理,以供参考。其实,该事件本身来说并不复杂,其攻击流程也非常简单。但因该事件涉及到“闪电贷”“重入攻击”等热门话题,因此成都链安认为有必要对该事件进行发声。

zkSync桥接存储总价值突破25万枚ETH,价值近5亿美元:金色财经报道,据Dune Analytics最新数据显示,以太坊Layer2扩容解决方案zkSync跨链桥接存储总价值已突破25万枚 ETH,本文撰写时达到257,984 ETH(按照当前ETH价格计算接近5亿美元),参与桥接交易的用户量为846,709个。[2023/4/30 14:36:02]

二、事件分析

数据:1000枚BTC从未知钱包转移至Gemini:金色财经报道,据WhaleAlert数据显示,1000枚BTC(价值19948138美元)从未知钱包转移至Gemini。[2022/9/1 13:02:30]

该事件的攻击原因主要在于合约的init函数未进行限制,从而导致攻击者有权利进行调用,如图2所示:

△图2

经分析,攻击者利用了DODO合约中提供的闪电贷工具,首先向合约转移了两种空气币。紧接着,发起了一笔闪电贷交易。在交易结束之前,调用合约的init函数将币种指向空气币,从而躲过了闪电贷的归还校验,如图3所示。

△图3

三、安全建议

成都链安安全团队认为,本起事件并不复杂,但值得敲响警钟,引起广大项目方的注意。具体而言,首先是DODO的闪电贷函数是进行了重入校验的,但由于init函数并没有添加重入校验,所以导致了类似重入攻击的发生。

另外,结合成都链安审计团队以往对项目方的安全审计经验,由于目前代码的复杂度越来越高,模块化也随之越来越多,有许多项目方虽然都使用了init函数进行管理,但需要提醒的是,init函数在solidity中也仅仅只是一个普通函数,在此呼吁广大项目方与开发者引起重视。切记,不要误以为取名为“init”,就只能进行一次调用。

同时,我们建议,在日常的安全防护中,项目方也需要做好事无巨细的安全加固工作;通过借助第三方安全公司的专业力量,采用“形式化验证与人工审核”结合的复合式审计方法,方能实现对项目面面俱到的全方位护航。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

ICP币圈明少:3.10 午间 BTC ETH:行情分析及操作建议

前言:一直认为做投资者需谦而不卑,骄而不横,敬而不畏。我们走过的是时间,看过的是行情;尝过的是盈与亏,回味的是得与失;沉淀的是经验,成就的是境界。机会总是留给有准备的人,但同样也留给会选择的人.

[0:15ms0-3:754ms