一、事件概览
北京时间2021年3月9日,根据舆情监测显示,去中心化交易所DODO上的wCRES/USDT资金池似乎被黑客攻击,转移走价值近98万美元的WrappedCRES和近114万美元的USDT。据DODO官方回复目前团队正在进行调查。
原文链接如下:
https://www.odaily.com/newsflashes/235047.html
BitKeep已上线赔付申领页面,并以站内信形式向受损用户推送:2月6日消息,Web3多链钱包BitKeep昨日在电报群公告中表示,针对729 APK安装包遭黑客劫持导致部分用户资金被盗,BitKeep将提前垫付被盗款项,目前赔付申领页面已正式上线。公告称:“黑客攻击发生在2022年12月26日03:00-06:15 (UTC+8),我们统计受影响地址和资产数据后,决定将以USDT币种-BEP20形式发放赔付资金。”官方提醒道,赔付页面仅以站内信的形式向受影响用户推送。
金色财经此前报道,BitKeep钱包因APK版本劫持而被盗,被盗资金价值达800万美元。1月19日消息,BitKeep称2月将上线赔付入口并赔付50%资金,3月底完成剩余资金赔付。[2023/2/6 11:49:32]
△图1?
公链Sui Network推出其测试网:金色财经报道,由前Meta(前身Facebook)工程师创建的Layer One区块链宣布开放测试网,该团队表示,测试网Wave1专注于运营商,特别是验证者和运营全节点的参与者,在Wave1中,Sui的目标是改进去中心化协调和事件响应,并确定一组具有部署、监控和调试经验的核心运营者。此外,与Devnet不同,在测试网中,事件管理将由社区驱动,而不是Mysten Labs驱动,这将使社区成员能够为维护Sui的健康提供更多投入并承担更大责任。
此前报道,9月份,Sui Blockchain背后公司Mysten Labs在由FTX Ventures领投的一轮融资中筹集了3亿美元,这轮融资对Mysten Labs的估值为20亿美元。[2022/11/18 13:19:29]
成都链安安全团队第一时间针对该事件启动安全应急响应,并将事件细节分析进行梳理,以供参考。其实,该事件本身来说并不复杂,其攻击流程也非常简单。但因该事件涉及到“闪电贷”“重入攻击”等热门话题,因此成都链安认为有必要对该事件进行发声。
David Chaum:区块链有很多机会和增长空间:金色财经报道,加密货币教父、密码学家David Chaum在接受采访时表示,非常棒的是,比特币将他的愿景的形象提升到了当权者无法忽视的程度,而这正在改变游戏规则。
他认为区块链有很多机会和增长空间。然而,目前的隐私状况是他最关心的问题。当被问及他对 Tornado Cash 和 Circle 将使用 USDC 的地址转移到“黑名单”相关地址的看法时,他指出这“非常令人不安”。Chaum随后声称这“有点超出他的范围,但实际上,他对底层技术有着深刻的理解。[2022/8/21 12:38:54]
二、事件分析
该事件的攻击原因主要在于合约的init函数未进行限制,从而导致攻击者有权利进行调用,如图2所示:
△图2
经分析,攻击者利用了DODO合约中提供的闪电贷工具,首先向合约转移了两种空气币。紧接着,发起了一笔闪电贷交易。在交易结束之前,调用合约的init函数将币种指向空气币,从而躲过了闪电贷的归还校验,如图3所示。
△图3
三、安全建议
成都链安安全团队认为,本起事件并不复杂,但值得敲响警钟,引起广大项目方的注意。具体而言,首先是DODO的闪电贷函数是进行了重入校验的,但由于init函数并没有添加重入校验,所以导致了类似重入攻击的发生。
另外,结合成都链安审计团队以往对项目方的安全审计经验,由于目前代码的复杂度越来越高,模块化也随之越来越多,有许多项目方虽然都使用了init函数进行管理,但需要提醒的是,init函数在solidity中也仅仅只是一个普通函数,在此呼吁广大项目方与开发者引起重视。切记,不要误以为取名为“init”,就只能进行一次调用。
同时,我们建议,在日常的安全防护中,项目方也需要做好事无巨细的安全加固工作;通过借助第三方安全公司的专业力量,采用“形式化验证与人工审核”结合的复合式审计方法,方能实现对项目面面俱到的全方位护航。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。