安全態勢感知平臺]輿情監測顯示,去中心化交易所DODO上的wCRES/USDT資金池似乎被黑客攻擊,轉移走價值近98萬美元的WrappedCRES和近114萬美元的USDT。據DODO官方回復目前團隊正在進行調查。
原文鏈接如下:
https://www.odaily.com/newsflashes/235047.html
?DODONFT平臺正式開啟“KAKA獨家漫威限量典藏版NFT”盲盒售賣:據官方消息,5月28日21:00DODONFT平臺正式開啟“KAKA獨家漫威限量典藏版NFT”盲盒售賣。此次面向全球拍售的是KAKANFTWORLD平臺游戲,獲得的漫威授權的高等級限定版NFT卡牌,開售2小時售出價值240000美金的NFT。KAKANFT在售卡牌均支持官方智能合約回購,官方托底保障流動性深度。[2021/5/28 22:53:43]
△圖1
去中心化交易平臺DODO已通過首次流動性發行上線DODO代幣:去中心化交易平臺DODO已在其交易平臺上線DODO/USDT交易對。DODO代幣地址為0x43dfc4159d86f3a37a5a4b3d4580b888ad7d4ddd。DODO發行將首次應用PMM算法的價格發現機制(首次流動性發行,即IDO),1%的代幣將會鎖在DODO池子中,并設定DODO初始價格為0.1美元;然后關閉做市功能,開放交易。使交易者通過自由的買賣行為,為DODO發現價格。[2020/9/29]
成都鏈安安全團隊第一時間針對該事件啟動安全應急響應,并將事件細節分析進行梳理,以供參考。其實,該事件本身來說并不復雜,其攻擊流程也非常簡單。但因該事件涉及到“閃電貸”“重入攻擊”等熱門話題,因此成都鏈安認為有必要對該事件進行發聲。
印尼最大數字貨幣交易所INDODAX用戶量逼近國家證券交易所:INDODAX首席執行官表示Oscar Darmawan表示,每天有近3千新用戶注冊平臺進行比特幣、以太坊、瑞波等數字貨幣的交易。該平臺有望在2018年底之前擁有150萬個KYC注冊用戶。而擁有百年歷史的印度尼西亞證券交易所,現擁有118萬注冊用戶。[2018/3/15]
二、事件分析
該事件的攻擊原因主要在于合約的init函數未進行限制,從而導致攻擊者有權利進行調用,如圖2所示:
△圖2
經分析,攻擊者利用了DODO合約中提供的閃電貸工具,首先向合約轉移了兩種空氣幣。緊接著,發起了一筆閃電貸交易。在交易結束之前,調用合約的init函數將幣種指向空氣幣,從而躲過了閃電貸的歸還校驗,如圖3所示。
三、安全建議
成都鏈安安全團隊認為,本起事件并不復雜,但值得敲響警鐘,引起廣大項目方的注意。具體而言,首先是DODO的閃電貸函數是進行了重入校驗的,但由于init函數并沒有添加重入校驗,所以導致了類似重入攻擊的發生。
另外,結合成都鏈安審計團隊以往對項目方的安全審計經驗,由于目前代碼的復雜度越來越高,模塊化也隨之越來越多,有許多項目方雖然都使用了init函數進行管理,但需要提醒的是,init函數在solidity中也僅僅只是一個普通函數,在此呼吁廣大項目方與開發者引起重視。切記,不要誤以為取名為“init”,就只能進行一次調用。
同時,我們建議,在日常的安全防護中,項目方也需要做好事無巨細的安全加固工作;通過借助第三方安全公司的專業力量,采用“形式化驗證與人工審核”結合的復合式審計方法,方能實現對項目面面俱到的全方位護航。
Gate.io將于2021年3月9日20:00上線Audius(AUDIO)交易。AUDIO支持網絡安全性,獨占功能訪問和社區擁有的治理.
1900/1/1 0:00:00尊敬的WBF用戶: 為了讓更多合約新用戶盡快的熟悉合約流程,瓦特合約特準備了模擬盤福利,活動期間完成模擬盤交易打卡任務,零成本賺實盤手續費抵扣券,玩賺模擬盤,新用戶開通合約再享限時體驗金福利.
1900/1/1 0:00:00加密資產投資公司BlockTowerCapital已為去中心化金融項目籌集了2500萬美元的資金。?Axios3月4日報道,該基金將促進對更長期,流動性更強的資產的更廣泛投資.
1900/1/1 0:00:00尊敬的用戶: CoinBene將上線SXP/USDT幣幣交易,邀您體驗。SXP充值時間:2021年3月11日16:00SXP交易時間:2021年3月11日16:00SXP提幣時間:2021年3月.
1900/1/1 0:00:003月9日消息,拉美地區DeFi社區DeFiLATAM創始人Luciano發推稱,去中心化交易所DODO上的wCRES/USDT資金池似乎被黑客攻擊.
1900/1/1 0:00:00最近NFT有多瘋狂? ——TwitterCEO的推文NFT拍賣價達250萬美元最近,大家關注點在哪里?在大盤似乎在橫盤的時候,市場熱點關注目光已轉移到NFT身上.
1900/1/1 0:00:00