DODO:DODO攻击事件分析：搬起“石头”，竟砸了自己的脚？_CRE

安全态势感知平台]舆情监测显示，去中心化交易所DODO上的wCRES/USDT资金池似乎被黑客攻击，转移走价值近98万美元的WrappedCRES和近114万美元的USDT。据DODO官方回复目前团队正在进行调查。

原文链接如下：

https://www.odaily.com/newsflashes/235047.html

DODO 24小时涨幅超50%，现报0.156911美元:金色财经报道，行情数据显示，DODO 24小时涨幅超50%，现报0.156911美元。行情波动较大，请做好风险控制。[2023/8/8 21:31:27]

△图1

成都链安安全团队第一时间针对该事件启动安全应急响应，并将事件细节分析进行梳理，以供参考。其实，该事件本身来说并不复杂，其攻击流程也非常简单。但因该事件涉及到“闪电贷”“重入攻击”等热门话题，因此成都链安认为有必要对该事件进行发声。

DODO攻击事件总结：已追回310万美元，一周内恢复众筹建池:3月10日消息，去中心化交易所DODO（DODO）公布了针对部分资金池被攻击事件的进展，本次攻击的主要原因是众筹资金池合约初始化函数没有防止重复调用，导致黑客重新初始化合约并通过闪电贷完成了攻击。在此事件中共有三位参与者，一位黑客和两个交易机器人，共有价值约380万美元的资金受到攻击，目前两个交易机器人的所有者已经归还了价值约310万美元代币。另外，价值约20万美元的资金在中心化交易所被冻结，剩余价值约50万美元的资金损失由DODO团队承担，所有资金将于24小时之内归还。同时，已邀请了安全公司成都链安和慢雾科技进行新一轮代码审计，预计一周内即可恢复众筹建池功能。[2021/3/10 18:32:29]

二、事件分析

DODO上wCRES/USDT资金池疑似被黑客攻击，转移走超200万美元资产:3月9日消息，拉美地区DeFi社区DeFi LATAM创始人Luciano发推称，去中心化交易所DODO上的wCRES/USDT资金池似乎被黑客攻击，转移走价值近98万美元的Wrapped CRES（wCRES）和近114万美元的USDT。DODO官方在电报群回复称，目前团队正在进行调查，即将发布更新进展。[2021/3/9 18:27:08]

该事件的攻击原因主要在于合约的init函数未进行限制，从而导致攻击者有权利进行调用，如图2所示：

△图2

经分析，攻击者利用了DODO合约中提供的闪电贷工具，首先向合约转移了两种空气币。紧接着，发起了一笔闪电贷交易。在交易结束之前，调用合约的init函数将币种指向空气币，从而躲过了闪电贷的归还校验，如图3所示。

三、安全建议

成都链安安全团队认为，本起事件并不复杂，但值得敲响警钟，引起广大项目方的注意。具体而言，首先是DODO的闪电贷函数是进行了重入校验的，但由于init函数并没有添加重入校验，所以导致了类似重入攻击的发生。

另外，结合成都链安审计团队以往对项目方的安全审计经验，由于目前代码的复杂度越来越高，模块化也随之越来越多，有许多项目方虽然都使用了init函数进行管理，但需要提醒的是，init函数在solidity中也仅仅只是一个普通函数，在此呼吁广大项目方与开发者引起重视。切记，不要误以为取名为“init”，就只能进行一次调用。

同时，我们建议，在日常的安全防护中，项目方也需要做好事无巨细的安全加固工作；通过借助第三方安全公司的专业力量，采用“形式化验证与人工审核”结合的复合式审计方法，方能实现对项目面面俱到的全方位护航。

标签：DODODODCRERESDODO币DODO价格SecretSwapBlockXpress

芝麻开门交易所热门资讯