DOD:DODO攻擊事件分析：搬起“石頭”，竟砸了自己的腳？

一、事件概覽

北京時間2021年3月9日，根據輿情監測顯示，去中心化交易所DODO上的wCRES/USDT資金池似乎被黑客攻擊，轉移走價值近98萬美元的WrappedCRES和近114萬美元的USDT。據DODO官方回復目前團隊正在進行調查。

原文鏈接如下：

https://www.odaily.com/newsflashes/235047.html

歐盟成員國、挪威、列支敦士登推出一個可公開訪問的區塊鏈:金色財經報道，歐盟成員國、挪威、列支敦士登和歐盟委員會推出了一個可公開訪問的區塊鏈。受監管和許可的區塊鏈由歐洲區塊鏈服務基礎設施 (EBSI) 管理。據歐盟委員會 (EC) 管理員Pierre Marro稱，截至去年，它在 23 個國家/地區擁有 45 個節點。[2023/5/9 14:52:33]

△圖1?

CZ：USDC取款量有所增長，需要等待銀行開門才會恢復:金色財經報道，幣安首席執行官CZ在社交媒體發文稱，在 USDC 上，幣安看到取款量有所增加。但是，從 PAX/BUSD 轉換為 USDC 的通道需要通過紐約的銀行以美元計價，銀行要再過幾個小時才開門，預計當銀行開門時情況會恢復。相關兌換交易是 1:1 轉換，不涉及保證金或杠桿。未來幣安也會嘗試建立更流暢的兌換渠道。同時，隨時提現任何其他穩定幣，BUSD，USDT等。[2022/12/13 21:41:45]

成都鏈安安全團隊第一時間針對該事件啟動安全應急響應，并將事件細節分析進行梳理，以供參考。其實，該事件本身來說并不復雜，其攻擊流程也非常簡單。但因該事件涉及到“閃電貸”“重入攻擊”等熱門話題，因此成都鏈安認為有必要對該事件進行發聲。

路易斯安那州考慮采用加密貨幣:金色財經報道，根據位于路易斯安那州拉斐特的地區性報紙 The Daily Advertiser的一份報告，美國人口第 25 大的州正在創建一個加密貨幣采用委員會。路易斯安那州州眾議員馬克賴特提出了一項成立委員會的決議，在獲得眾議院撥款委員會的批準后，它必須在全院通過后才能進入路易斯安那州參議院。賴特還提出了一項法案，允許政客接受加密貨幣的競選捐款。這位共和黨議員認為，路易斯安那州可能成為加密領域的開拓者。（u.today）[2022/5/19 3:28:25]

二、事件分析

該事件的攻擊原因主要在于合約的init函數未進行限制，從而導致攻擊者有權利進行調用，如圖2所示：

△圖2

經分析，攻擊者利用了DODO合約中提供的閃電貸工具，首先向合約轉移了兩種空氣幣。緊接著，發起了一筆閃電貸交易。在交易結束之前，調用合約的init函數將幣種指向空氣幣，從而躲過了閃電貸的歸還校驗，如圖3所示。

△圖3

三、安全建議

成都鏈安安全團隊認為，本起事件并不復雜，但值得敲響警鐘，引起廣大項目方的注意。具體而言，首先是DODO的閃電貸函數是進行了重入校驗的，但由于init函數并沒有添加重入校驗，所以導致了類似重入攻擊的發生。

另外，結合成都鏈安審計團隊以往對項目方的安全審計經驗，由于目前代碼的復雜度越來越高，模塊化也隨之越來越多，有許多項目方雖然都使用了init函數進行管理，但需要提醒的是，init函數在solidity中也僅僅只是一個普通函數，在此呼吁廣大項目方與開發者引起重視。切記，不要誤以為取名為“init”，就只能進行一次調用。

同時，我們建議，在日常的安全防護中，項目方也需要做好事無巨細的安全加固工作；通過借助第三方安全公司的專業力量，采用“形式化驗證與人工審核”結合的復合式審計方法，方能實現對項目面面俱到的全方位護航。

Tags：USDDODDODO區塊鏈CZUSDDODB幣dodo幣價格區塊鏈域名還有市場前景嗎

比特幣交易所