安全态势感知平台】舆情监测显示,去中心化交易所DODO上的wCRES/USDT资金池似乎被黑客攻击,转移走价值近98万美元的WrappedCRES和近114万美元的USDT。据DODO官方回复目前团队正在进行调查。
原文链接如下:
https://www.odaily.com/newsflashes/235047.html
LidoDAO发起LDO出售投票,或将向Dragonfly Capital等机构出售2000万枚LDO:7月19日消息,流动性质押协议Lido Finance开启社区投票,以决定Lido是否从DAO国库中,以每枚LDO Token1.452153美元的价格,出售LDO Token总供应量的2%(2000万枚LDO)为DAI。LidoDAO表示,在与感兴趣的各方联系后,DragonflyCapital表示期待领投该轮融资。该提案显示,LidoDAO将向Dragonfly Capital出售1000万枚LDOToken,剩余LDO Token将交由DAO批准。售出的Token将立即解锁,并拥有完全的投票权。
提案发起者jbeezy表示,该提案旨在以Stablecoin形式确保LidoDAO的运营,并考虑到Dragonfly Capital将能为DeFi项目提供内部专业知识。这将确保Lido及其核心贡献者能够长期继续协议所需的重要工作,并作为一个自治的自治集体蓬勃发展。[2022/7/19 2:22:14]
△图1
DODO宣布正式在NEAR协议上启动:12月21日消息,DODO宣布正式在NEAR协议上启动,使用Aurora作为与以太坊兼容的扩展解决方案。DODO预计在未来六个月内实现以下目标:TVL超过1亿美元、成交量超3亿美元等。[2021/12/21 7:53:01]
成都链安安全团队第一时间针对该事件启动安全应急响应,并将事件细节分析进行梳理,以供参考。其实,该事件本身来说并不复杂,其攻击流程也非常简单。但因该事件涉及到“闪电贷”“重入攻击”等热门话题,因此成都链安认为有必要对该事件进行发声。
AOFEX将于1月29日上线MATIC、BOT、DODO:据官方消息,AOFEX交易所于1月29日正式上线MATIC、BOT、DODO并已开放充值及提币功能,AQ及USDT交易区14:00开放上线MATIC以及BOT交易,16:00开放上线DODO交易。
Matic Network是一个第二层扩展性平台,实现快速、简单和安全的链下交易的脱链智能合约。Bounce是一个去中心化代币交换平台,BOT是该平台的原生功能型代币。DODO是基于主动做市商算法的下一代链上流动性基础设施。
AOFEX数字货币金融衍生品交易所,旨在为用户提供优质服务和资产安全保障。[2021/1/29 14:18:02]
二、事件分析
该事件的攻击原因主要在于合约的init函数未进行限制,从而导致攻击者有权利进行调用,如图2所示:
△图2
经分析,攻击者利用了DODO合约中提供的闪电贷工具,首先向合约转移了两种空气币。紧接着,发起了一笔闪电贷交易。在交易结束之前,调用合约的init函数将币种指向空气币,从而躲过了闪电贷的归还校验,如图3所示。
三、安全建议
成都链安安全团队认为,本起事件并不复杂,但值得敲响警钟,引起广大项目方的注意。具体而言,首先是DODO的闪电贷函数是进行了重入校验的,但由于init函数并没有添加重入校验,所以导致了类似重入攻击的发生。
另外,结合成都链安审计团队以往对项目方的安全审计经验,由于目前代码的复杂度越来越高,模块化也随之越来越多,有许多项目方虽然都使用了init函数进行管理,但需要提醒的是,init函数在solidity中也仅仅只是一个普通函数,在此呼吁广大项目方与开发者引起重视。切记,不要误以为取名为“init”,就只能进行一次调用。
同时,我们建议,在日常的安全防护中,项目方也需要做好事无巨细的安全加固工作;通过借助第三方安全公司的专业力量,采用“形式化验证与人工审核”结合的复合式审计方法,方能实现对项目面面俱到的全方位护航。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。