DODO:DODO攻擊事件分析：搬起“石頭”，竟砸了自己的腳？

一、事件概覽

北京時間2021年3月9日，根據輿情監測顯示，去中心化交易所DODO上的wCRES/USDT資金池似乎被黑客攻擊，轉移走價值近98萬美元的WrappedCRES和近114萬美元的USDT。據DODO官方回復目前團隊正在進行調查。

原文鏈接如下：

https://www.odaily.com/newsflashes/235047.html

美國銀行：加密市場監管的不確定性給區塊鏈發展蒙上陰影:6月19日消息，美國銀行 (BAC) 在周五的一份研究報告中表示，風險資產的漲勢仍在繼續，但自5月初以來，數字資產的表現落后于納斯達克股票指數24%，而今年年初已上漲52%。分析師Alkesh Shah和Andrew Moss寫道：“由于美國證券交易委員會 (SEC) 的執法行動造成監管不確定性，給代幣價格帶來壓力，因此數字資產情緒仍然不佳。”

美國銀行表示，過度關注監管阻力、比特幣現貨ETF在美國的批準以及非法活動，“給分布式賬本和區塊鏈技術基礎設施的快速發展和整合蒙上了陰影”。報告補充說，“特別是私人許可的分布式賬本和區塊鏈子網”，這使得傳統金融資產的代幣化成為可能，預計區塊鏈基礎設施和代幣化將“在未來5到10年內改變金融和非融資基礎設施和市場”。[2023/6/19 21:47:21]

△圖1?

灰度比特幣信托負溢價率達40.55%:11月29日消息，根據Tokenview鏈上數據顯示，當前灰度總持倉量達142.49億美元，主流幣種信托溢價率如下：

BTC，-40.55%；

ETH，-43.71%；

ETC，-70.45%；

LTC， -52.37%；

BCH，-40.82%。[2022/11/29 21:09:12]

成都鏈安安全團隊第一時間針對該事件啟動安全應急響應，并將事件細節分析進行梳理，以供參考。其實，該事件本身來說并不復雜，其攻擊流程也非常簡單。但因該事件涉及到“閃電貸”“重入攻擊”等熱門話題，因此成都鏈安認為有必要對該事件進行發聲。

Argo Blockchain預計籌集2500萬-3500萬美元用于擴張:金色財經報道，比特幣礦商Argo Blockchain首席執行官Peter Wall周四在投資者電話會議上表示，比特幣礦商Argo Blockchain (ARBK) 預計籌集 2500 萬至 3500 萬美元用于擴張資金，并在明年第一季度達到其 4.1 exahash/秒 (EH/s)，[2022/8/25 12:48:34]

二、事件分析

該事件的攻擊原因主要在于合約的init函數未進行限制，從而導致攻擊者有權利進行調用，如圖2所示：

△圖2

經分析，攻擊者利用了DODO合約中提供的閃電貸工具，首先向合約轉移了兩種空氣幣。緊接著，發起了一筆閃電貸交易。在交易結束之前，調用合約的init函數將幣種指向空氣幣，從而躲過了閃電貸的歸還校驗，如圖3所示。

△圖3

三、安全建議

成都鏈安安全團隊認為，本起事件并不復雜，但值得敲響警鐘，引起廣大項目方的注意。具體而言，首先是DODO的閃電貸函數是進行了重入校驗的，但由于init函數并沒有添加重入校驗，所以導致了類似重入攻擊的發生。

另外，結合成都鏈安審計團隊以往對項目方的安全審計經驗，由于目前代碼的復雜度越來越高，模塊化也隨之越來越多，有許多項目方雖然都使用了init函數進行管理，但需要提醒的是，init函數在solidity中也僅僅只是一個普通函數，在此呼吁廣大項目方與開發者引起重視。切記，不要誤以為取名為“init”，就只能進行一次調用。

同時，我們建議，在日常的安全防護中，項目方也需要做好事無巨細的安全加固工作；通過借助第三方安全公司的專業力量，采用“形式化驗證與人工審核”結合的復合式審計方法，方能實現對項目面面俱到的全方位護航。

Tags：DODO比特幣DOD區塊鏈DODO幣最新價格比特幣美元換算區塊鏈運用的技術中不包括哪一項

以太坊交易