一、事件概览
北京时间2021年3月9日,根据舆情监测显示,去中心化交易所DODO上的wCRES/USDT资金池似乎被黑客攻击,转移走价值近98万美元的WrappedCRES和近114万美元的USDT。据DODO官方回复目前团队正在进行调查。原地址如下:https://www.odaily.com/newsflashes/235047.html
DollarDodge项目疑似Rugpull,513枚BNB已被转移至TornadoCash:2月23日消息,PeckShieldAlert发推称,DollarDodge项目方疑似Rugpull,该团队正在清售其代币,并将513枚BNB(近20万美元)转移至TornadoCash中。[2022/2/23 10:11:27]
DODO将于5月12日开启HECO第一个众筹建池项目Enft.One:据官方消息,HECO首款以Emoji为主题的GameFi项目Enft.One即将在DODO平台发起IDO,众筹时间为5月12日 14:00-20:00。
据悉Enft.One的用户可以通过NFT表情抽奖、收藏挖矿、标签位升级等创新的NFT游戏规则来增加收益率;同时,Emoji NFT具有一定随机性及稀缺性,用户的稀有NFT可以通过市场交易。[2021/5/11 21:47:08]
△图1成都链安安全团队第一时间针对该事件启动安全应急响应,并将事件细节分析进行梳理,以供参考。其实,该事件本身来说并不复杂,其攻击流程也非常简单。但因该事件涉及到“闪电贷”“重入攻击”等热门话题,因此成都链安认为有必要对该事件进行发声。二、事件分析
SafePal Wallet宣布支持DODO DApp和DODO代币:4月27日消息,加密硬件钱包SafePal Wallet宣布其应用iSafePal支持DODO DApp和DODO代币。[2021/4/27 21:03:09]
该事件的攻击原因主要在于合约的init函数未进行限制,从而导致攻击者有权利进行调用,如图2所示:
△图2经分析,攻击者利用了DODO合约中提供的闪电贷工具,首先向合约转移了两种空气币。紧接着,发起了一笔闪电贷交易。在交易结束之前,调用合约的init函数将币种指向空气币,从而躲过了闪电贷的归还校验,如图3所示。
△图3三、安全建议
成都链安安全团队认为,本起事件并不复杂,但值得敲响警钟,引起广大项目方的注意。具体而言,首先是DODO的闪电贷函数是进行了重入校验的,但由于init函数并没有添加重入校验,所以导致了类似重入攻击的发生。另外,结合成都链安审计团队以往对项目方的安全审计经验,由于目前代码的复杂度越来越高,模块化也随之越来越多,有许多项目方虽然都使用了init函数进行管理,但需要提醒的是,init函数在solidity中也仅仅只是一个普通函数,在此呼吁广大项目方与开发者引起重视。切记,不要误以为取名为“init”,就只能进行一次调用。同时,我们建议,在日常的安全防护中,项目方也需要做好事无巨细的安全加固工作;通过借助第三方安全公司的专业力量,采用“形式化验证与人工审核”结合的复合式审计方法,方能实现对项目面面俱到的全方位护航。
编者按:本文来自区块律动BlockBeats,作者:BradyDale,Odaily星球日报经授权转载。观点:NFT是一种证明数字艺术和收藏品所有权的方式.
去中心化金融(DeFi)在过去几个月中迅速崛起,DeFi市值目前约为500亿美元,层出不穷的产品协议着实成为近年来区块链技术众多创新之一,用户无需信任就可以借贷、交易和投资加密资产.
本文来自ITpro,作者:SabinaWestonOdaily星球日报译者|余顺遂PayPal宣布计划收购Curv。据悉,Curv是以色列加密货币安全云基础设施提供商.
编者按:本文来自彩云区块链,Odaily星球日报经授权转载。EIP-1559近期已经引起了很多人的讨论,而大部分人还是将重点关注在这个提案能够降低手续费,但是实际上EIP-1559其实本质目的并.
编者按:本文来自巴比特资讯,作者:JamieRedman,编译:夕雨,星球日报经授权发布。比特币价格在过去两天内恢复了上涨势头,在本周二早上触及2021年3月的高点54822美元.
在下图,您可以看到主要交易所和网关登录与注册的比率。最近几周,该比率已进入与2019年大部分牛市时期相同的区间.