区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > MANA > 正文

DOD:DODO攻击事件分析:搬起“石头”,竟砸了自己的脚?_CRE

作者:

时间:

安全态势感知平台]舆情监测显示,去中心化交易所DODO上的wCRES/USDT资金池似乎被黑客攻击,转移走价值近98万美元的WrappedCRES和近114万美元的USDT。据DODO官方回复目前团队正在进行调查。

原文链接如下:

https://www.odaily.com/newsflashes/235047.html

Bitfinex比特币永续合约短时上涨至56500美元附近,随后回落至正常区间:金色财经报道,北京时间 22:20 左右,加密交易所 Bitfinex 的比特币永续合约价格短时拉升至 56500 美元附近,随后回落至 28300 美元左右。[2023/5/3 14:39:19]

△图1

成都链安安全团队第一时间针对该事件启动安全应急响应,并将事件细节分析进行梳理,以供参考。其实,该事件本身来说并不复杂,其攻击流程也非常简单。但因该事件涉及到“闪电贷”“重入攻击”等热门话题,因此成都链安认为有必要对该事件进行发声。

二、事件分析

该事件的攻击原因主要在于合约的init函数未进行限制,从而导致攻击者有权利进行调用,如图2所示:

△图2

经分析,攻击者利用了DODO合约中提供的闪电贷工具,首先向合约转移了两种空气币。紧接着,发起了一笔闪电贷交易。在交易结束之前,调用合约的init函数将币种指向空气币,从而躲过了闪电贷的归还校验,如图3所示。

去中心化交易平台DODO推出最高20万美元的漏洞赏金计划:官方消息,去中心化交易平台DODO在Immunefi漏洞悬赏平台推出最高20万美元的漏洞赏金计划。[2021/5/26 22:45:33]

三、安全建议

成都链安安全团队认为,本起事件并不复杂,但值得敲响警钟,引起广大项目方的注意。具体而言,首先是DODO的闪电贷函数是进行了重入校验的,但由于init函数并没有添加重入校验,所以导致了类似重入攻击的发生。

另外,结合成都链安审计团队以往对项目方的安全审计经验,由于目前代码的复杂度越来越高,模块化也随之越来越多,有许多项目方虽然都使用了init函数进行管理,但需要提醒的是,init函数在solidity中也仅仅只是一个普通函数,在此呼吁广大项目方与开发者引起重视。切记,不要误以为取名为“init”,就只能进行一次调用。

同时,我们建议,在日常的安全防护中,项目方也需要做好事无巨细的安全加固工作;通过借助第三方安全公司的专业力量,采用“形式化验证与人工审核”结合的复合式审计方法,方能实现对项目面面俱到的全方位护航。

标签:DODODODCRERESDODO币dodo币行情CreditcoinJoint Ventures

MANA热门资讯
NFT:关于WBF法币商家招募的公告_LET

尊敬的用户: WBF法币商家招募正式开启,具体详情如下:一、OTC商家申请方式:OTC商家只能通过otc专员申请,WBF交易所将严格筛选申请人员,在满足申请条件基础上.

ITA:xDeFi 完成百万美元私募轮融资,即将上线以太坊主网和发行代币 XDEX_TAL

链闻消息,去中心化金融协议栈xDeFi宣布完成百万美元私募轮融资,投资机构包括QtumFoundation、YoubiCapital、WaterdripCapital、六一资本、HotbitTe.

CAP:LOEX雷盾周报(2021.3.1-2021.3.7)_ITA

产品 1、PC端V4.01最新版本于3月1日发布;申诉功能优化,转帐记录增加UID查询,公共接口增加UID查询,优化项目动态模块;曼谷海外节点服务器进行维护升级;上线项目币种测试.

DEF:囤币党如何开始DeFi之旅_DEFI

一、心态上先转变 囤币是静的,defi是动的,需要接受这种变化。前提:学会以太坊钱包,并熟练操作,理解以太坊钱包的单向特性,收发币操作,gas概念,取消发币操作,发错币的情况下,替代nonce发.

HODL:三岁“比特币儿童”在妇女节加密会议上进行了发言_玩区块链挣的钱合法吗

据国外媒体报道,在周一举行的“加密和区块链领域的女性”会议上,有一位三岁小孩以一段视频演讲拉开了妇女节的序幕。这位被称为“幼儿领域领先的加密货币专家”的三岁小孩,是这次线上活动中最年轻的演讲者.

币虎2021年3月10日18:00上线OX/USDT交易对

尊敬的用户: 币虎DeFi专区将于2021年3月10日18:00上线OX/USDT交易对,具体时间如下:1.开放充币:2021年3月10日14:00;2.开放交易:2021年3月10日18:00.