一、事件概览
北京时间2021年3月9日,根据舆情监测显示,去中心化交易所DODO上的wCRES/USDT资金池似乎被黑客攻击,转移走价值近98万美元的WrappedCRES和近114万美元的USDT。据DODO官方回复目前团队正在进行调查。原地址如下:https://www.odaily.com/newsflashes/235047.html
某地址向币安存入200万枚DODO,仍持有940万枚DODO:8月8日消息,据Scopescan监测,DODO投资者(0xbf4开头地址)于1小时前向币安存入200万枚DODO(约合30万美元)。在过去1年里,该地址通常在领取DODO后立即质押。目前该地址仍持有940万枚DODO(约合150万美元)。
昨日有6个地址收到解锁的DODO代币,并向币安存入630万枚DODO(约合101万美元)。其中,DWF Labs收到600万枚DODO(约合78.2万美元),并于今日下午将100万枚DODO存入币安。[2023/8/8 21:32:09]
dFuture与DODO 联合举办交易挖矿活动已结束:据官方消息,去中心化衍生品交易协议 dFuture (DFT)参与DODO Raptor交易挖矿激励活动已结束。
dFuture 是由 MIX 集团旗下 Mix Labs 打造的去中心化衍生品交易协议,采用QCAMM做市商协议,具有零滑点、高交易深度、零无偿损失的特点。数据显示,dFuture 24H 总交易量已突破1.6亿美元。
DODO是一个由主动做市商(PMM)算法驱动的去中心化交易平台。它的特点是具有高资本效率的流动性池,支持单边代币的流动性提供,减少无常损失,能最小化交易时的滑点,并提供SmartTrade 聚合交易服务。其投资机构包括:Pantera 、Three Arrows 、 Binance Labs 、Coinbase Ventures等,其他投资机构包括专业做市机构 CMS Holdings 和 Alameda Research等。[2021/4/16 20:27:29]
△图1成都链安安全团队第一时间针对该事件启动安全应急响应,并将事件细节分析进行梳理,以供参考。其实,该事件本身来说并不复杂,其攻击流程也非常简单。但因该事件涉及到“闪电贷”“重入攻击”等热门话题,因此成都链安认为有必要对该事件进行发声。二、事件分析
GamyFi将于3月29日在BakerySwap、Zendit、DODO和GUMpad进行IDO:3月27日,由社区管理的幻想体育、NFT和游戏平台GamyFi宣布将于UTC时间3月29日中午12点(北京时间20点)在BakerySwap Launchpad(BSC)、Zendit Launchpad、DODO DVM和GUMpad四个平台上进行IDO。[2021/3/27 19:22:32]
该事件的攻击原因主要在于合约的init函数未进行限制,从而导致攻击者有权利进行调用,如图2所示:
△图2经分析,攻击者利用了DODO合约中提供的闪电贷工具,首先向合约转移了两种空气币。紧接着,发起了一笔闪电贷交易。在交易结束之前,调用合约的init函数将币种指向空气币,从而躲过了闪电贷的归还校验,如图3所示。
△图3三、安全建议
成都链安安全团队认为,本起事件并不复杂,但值得敲响警钟,引起广大项目方的注意。具体而言,首先是DODO的闪电贷函数是进行了重入校验的,但由于init函数并没有添加重入校验,所以导致了类似重入攻击的发生。另外,结合成都链安审计团队以往对项目方的安全审计经验,由于目前代码的复杂度越来越高,模块化也随之越来越多,有许多项目方虽然都使用了init函数进行管理,但需要提醒的是,init函数在solidity中也仅仅只是一个普通函数,在此呼吁广大项目方与开发者引起重视。切记,不要误以为取名为“init”,就只能进行一次调用。同时,我们建议,在日常的安全防护中,项目方也需要做好事无巨细的安全加固工作;通过借助第三方安全公司的专业力量,采用“形式化验证与人工审核”结合的复合式审计方法,方能实现对项目面面俱到的全方位护航。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。