一、事件概览
北京时间2021年3月9日,根据舆情监测显示,去中心化交易所DODO上的wCRES/USDT资金池似乎被黑客攻击,转移走价值近98万美元的WrappedCRES和近114万美元的USDT。据DODO官方回复目前团队正在进行调查。原地址如下:https://www.odaily.com/newsflashes/235047.html
安全团队:DOD项目代币价格暴跌94.68%,有极高的Rug Pull风险:5月6日消息,CertiK安全团队监测,北京时间2022年5月6日凌晨3:30,DOD项目代币价格暴跌94.68%。经CertiK多方面证实,该项目有极高的Rug Pull风险。目前。该rug pull项目总计损失约135万美元,具体数字CertiK将在随后更详细的报告中说明。
这些代币现在正在被偷换/交易成BNB和其他资产,并且被偷走的项目代币被存放在两个通过交易与DOD \"M \"和 \"A \"钱包相关的地址中:0x2cbfda0600f26514b5715875aa4b273bf5edc775和0x404bc3bb20cfbea9ec7345f6e8b9321b67ed14d0[2022/5/6 2:53:52]
去中心化交易平台DODO已在Polygon主网上线:去中心化交易平台DODO宣布在Polygon主网上线。DODO表示,Polygon是增长最快的以太坊区块链扩容解决方案之一。Polygon在加密领域的认可度越来越高,其中包括马克·库班(Mark Cuban)等有影响力的投资者。[2021/6/6 23:15:25]
△图1成都链安安全团队第一时间针对该事件启动安全应急响应,并将事件细节分析进行梳理,以供参考。其实,该事件本身来说并不复杂,其攻击流程也非常简单。但因该事件涉及到“闪电贷”“重入攻击”等热门话题,因此成都链安认为有必要对该事件进行发声。二、事件分析
Gate.io 已开通DODO杠杆交易和币币理财服务:据官方公告,Gate.io已经开通DODO (DODO) 杠杆交易和理财服务,用户可以通过借入DODO的方式做空,或者通过借入USDT的方式做多。Gate.io的理财和借贷市场是一个用户对用户的借贷平台(有抵押,理财无回本风险),平台不参与任何借贷和放贷。[2021/2/19 17:29:57]
该事件的攻击原因主要在于合约的init函数未进行限制,从而导致攻击者有权利进行调用,如图2所示:
△图2经分析,攻击者利用了DODO合约中提供的闪电贷工具,首先向合约转移了两种空气币。紧接着,发起了一笔闪电贷交易。在交易结束之前,调用合约的init函数将币种指向空气币,从而躲过了闪电贷的归还校验,如图3所示。
△图3三、安全建议
成都链安安全团队认为,本起事件并不复杂,但值得敲响警钟,引起广大项目方的注意。具体而言,首先是DODO的闪电贷函数是进行了重入校验的,但由于init函数并没有添加重入校验,所以导致了类似重入攻击的发生。另外,结合成都链安审计团队以往对项目方的安全审计经验,由于目前代码的复杂度越来越高,模块化也随之越来越多,有许多项目方虽然都使用了init函数进行管理,但需要提醒的是,init函数在solidity中也仅仅只是一个普通函数,在此呼吁广大项目方与开发者引起重视。切记,不要误以为取名为“init”,就只能进行一次调用。同时,我们建议,在日常的安全防护中,项目方也需要做好事无巨细的安全加固工作;通过借助第三方安全公司的专业力量,采用“形式化验证与人工审核”结合的复合式审计方法,方能实现对项目面面俱到的全方位护航。
昨天看到一位读者留言:在本次大跌中,手里的比特币出掉了,要不要把以太坊拿出一部分换成比特币?对这个问题,我们可以用类比的方式思考.
本文来自:哈希派,作者:哈希派分析团队,星球日报经授权转发。 PAX Treasury在以太坊网络增发超过796.7枚BUSD:Whale Alert数据显示,北京时间6月22日18:09,PA.
编者按:本文来自巴比特资讯,作者:JORDANFINNESETH,编译:Apatheticco,星球日报经授权发布.
本文来自TheBlock,作者:RyanWeeksOdaily星球日报译者|余顺遂 摘要: 多资产交易平台eToro正在与FinTechAcquisitionCorp.V.合并.
编者按:本文来自Cointelegraph中文,Odaily星球日报经授权转载。高盛前首席投资官GaryBlack在推特上建议特斯拉卖出比特币并回购公司股票,引起了强烈反响.
编者按:本文来自链闻ChainNews,撰文:LarryCermak,TheBlock研究主管,翻译:卢江飞,星球日报经授权发布.