BUSD:DODO攻擊事件分析：搬起“石頭”，竟砸了自己的腳？

一、事件概覽

北京時間2021年3月9日，根據輿情監測顯示，去中心化交易所DODO上的wCRES/USDT資金池似乎被黑客攻擊，轉移走價值近98萬美元的WrappedCRES和近114萬美元的USDT。據DODO官方回復目前團隊正在進行調查。原地址如下：https://www.odaily.com/newsflashes/235047.html

幣安合約將于8月10日下架TRXBUSD和DODOBUSD U本位永續合約:8月3日消息，據官方公告，幣安合約將于8月10日17:00（東八區時間）對TRXBUSD和DODOBUSD U本位永續合約進行自動清算，并將在清算結束后下架TRXBUSD和DODOBUSD U本位永續合約交易對。

幣安合約將于8月3日22:00（東八區時間）更新TRXBUSD和DODOBUSD U本位永續合約杠桿和保證金階梯。

建議用戶在停止交易前，自行平倉，以避免頭寸自動清算。8月10日16:30（東八區時間）之后用戶將無法對TRXBUSD和DODOBUSD U本位永續合約新增倉位。[2023/8/3 16:16:24]

WMASS參與DoDo首期Booster流動性挖礦激勵計劃:據官方消息，WMASS參與DoDo首期Booster流動性挖礦激勵計劃，在DoDo“做市挖礦”提供WMASS/DoDo流動性并質押DLP代幣獲得WMASS/DoDo獎勵，首周DoDoSuperBooster提供三倍獎勵。WMASS是幣安智能鏈上1:1錨定MASS的BEP20代幣，項目由去中心化承兌商MixstoneAlliance推動，通過嚴格的監管和合規流程幫助MASS根據持有者需求1:1映射到幣安智能鏈。MASS作為PoC存儲挖礦最具代表性的項目之一，以接近300P的全網算力，錨定真實世界物理價值，由WMASS將這一價值傳遞并引入DeFi生態。[2021/4/22 20:48:15]

△圖1成都鏈安安全團隊第一時間針對該事件啟動安全應急響應，并將事件細節分析進行梳理，以供參考。其實，該事件本身來說并不復雜，其攻擊流程也非常簡單。但因該事件涉及到“閃電貸”“重入攻擊”等熱門話題，因此成都鏈安認為有必要對該事件進行發聲。二、事件分析

庫幣上線 DODO (DODO) 并開放充值服務:據庫幣KuCoin官方公告，庫幣宣布上線 DODO (DODO) 項目并支持 DODO/USDT 交易對 ，目前已開啟DODO的充值服務，于4月6日18:00正式開放交易。 DODO 是一個去中心化交易平臺，是基于原創的主動做市商算法（PMM）的新一代鏈上流動性解決方案。以“全民的交易所”著稱，庫幣旨在發掘全球優質區塊鏈項目，為來自207個國家的600萬用戶提供幣幣、法幣、杠桿、合約、礦池、借貸等一站式服務。[2021/4/6 19:49:47]

該事件的攻擊原因主要在于合約的init函數未進行限制，從而導致攻擊者有權利進行調用，如圖2所示：

△圖2經分析，攻擊者利用了DODO合約中提供的閃電貸工具，首先向合約轉移了兩種空氣幣。緊接著，發起了一筆閃電貸交易。在交易結束之前，調用合約的init函數將幣種指向空氣幣，從而躲過了閃電貸的歸還校驗，如圖3所示。

△圖3三、安全建議

成都鏈安安全團隊認為，本起事件并不復雜，但值得敲響警鐘，引起廣大項目方的注意。具體而言，首先是DODO的閃電貸函數是進行了重入校驗的，但由于init函數并沒有添加重入校驗，所以導致了類似重入攻擊的發生。另外，結合成都鏈安審計團隊以往對項目方的安全審計經驗，由于目前代碼的復雜度越來越高，模塊化也隨之越來越多，有許多項目方雖然都使用了init函數進行管理，但需要提醒的是，init函數在solidity中也僅僅只是一個普通函數，在此呼吁廣大項目方與開發者引起重視。切記，不要誤以為取名為“init”，就只能進行一次調用。同時，我們建議，在日常的安全防護中，項目方也需要做好事無巨細的安全加固工作；通過借助第三方安全公司的專業力量，采用“形式化驗證與人工審核”結合的復合式審計方法，方能實現對項目面面俱到的全方位護航。

Tags：DODDODOUSDBUSDdod幣最新行情DODO幣最新價格usdt幣怎么挖礦busd幣什么時候退市

Bitcoin