DODO:DODO攻擊事件分析：搬起“石頭”，竟砸了自己的腳？_dodo幣創始人

一、事件概覽

北京時間2021年3月9日，根據輿情監測顯示，去中心化交易所DODO上的wCRES/USDT資金池似乎被黑客攻擊，轉移走價值近98萬美元的WrappedCRES和近114萬美元的USDT。據DODO官方回復目前團隊正在進行調查。原地址如下：https://www.odaily.com/newsflashes/235047.html

KuCoin (庫幣)新增AVAX、DODO、WIN和OMG杠桿交易:據KuCoin庫幣官方消息，庫幣杠桿交易平臺已開通AVAX、DODO、WIN和OMG杠桿交易。同時，庫幣杠桿借貸市場推出7天0息借貸福利，免息券已空投到幸運用戶賬戶。用戶可通過借入以上幣種做空，或者借入USDT做多。

庫幣杠桿交易已開放DOGE、FIL、1INCH、CHZ、BTT等60多個幣種的交易對。近期行情波動較大，請控制杠桿倍數，做好風險控制。[2021/4/16 20:27:38]

LBank藍貝殼上線 FEI 和 TRIBE 代幣挖礦 DODO 活期理財活動:LBank 藍貝殼交易所已上線 FEI 和 TRIBE 單幣挖礦 DODO 活期理財活動，用戶可以登陸LBank.me 首頁余幣寶，點擊幣生息，即可零成本參與單幣 FEI 和 TRIBE 挖礦 DODO 的活動，最終將根據每日實際獲取數量分發到用戶賬戶。該活動將于4月11日結束。

此前，LBank 藍貝殼交易平臺通過代為用戶參與 FEI 的全球發行，共計超過2600個 ETH 通過平臺參與，讓用戶零手續費參與，并在結束后50分鐘即開通相關交易對，幫用戶降低成本，提升資金流轉效率。[2021/4/4 19:45:23]

△圖1成都鏈安安全團隊第一時間針對該事件啟動安全應急響應，并將事件細節分析進行梳理，以供參考。其實，該事件本身來說并不復雜，其攻擊流程也非常簡單。但因該事件涉及到“閃電貸”“重入攻擊”等熱門話題，因此成都鏈安認為有必要對該事件進行發聲。二、事件分析

AOFEX將于1月29日上線MATIC、BOT、DODO:據官方消息，AOFEX交易所于1月29日正式上線MATIC、BOT、DODO并已開放充值及提幣功能，AQ及USDT交易區14:00開放上線MATIC以及BOT交易，16:00開放上線DODO交易。

Matic Network是一個第二層擴展性平臺，實現快速、簡單和安全的鏈下交易的脫鏈智能合約。Bounce是一個去中心化代幣交換平臺，BOT是該平臺的原生功能型代幣。DODO是基于主動做市商算法的下一代鏈上流動性基礎設施。

AOFEX數字貨幣金融衍生品交易所，旨在為用戶提供優質服務和資產安全保障。[2021/1/29 14:18:02]

該事件的攻擊原因主要在于合約的init函數未進行限制，從而導致攻擊者有權利進行調用，如圖2所示：

△圖2經分析，攻擊者利用了DODO合約中提供的閃電貸工具，首先向合約轉移了兩種空氣幣。緊接著，發起了一筆閃電貸交易。在交易結束之前，調用合約的init函數將幣種指向空氣幣，從而躲過了閃電貸的歸還校驗，如圖3所示。

△圖3三、安全建議

成都鏈安安全團隊認為，本起事件并不復雜，但值得敲響警鐘，引起廣大項目方的注意。具體而言，首先是DODO的閃電貸函數是進行了重入校驗的，但由于init函數并沒有添加重入校驗，所以導致了類似重入攻擊的發生。另外，結合成都鏈安審計團隊以往對項目方的安全審計經驗，由于目前代碼的復雜度越來越高，模塊化也隨之越來越多，有許多項目方雖然都使用了init函數進行管理，但需要提醒的是，init函數在solidity中也僅僅只是一個普通函數，在此呼吁廣大項目方與開發者引起重視。切記，不要誤以為取名為“init”，就只能進行一次調用。同時，我們建議，在日常的安全防護中，項目方也需要做好事無巨細的安全加固工作；通過借助第三方安全公司的專業力量，采用“形式化驗證與人工審核”結合的復合式審計方法，方能實現對項目面面俱到的全方位護航。

Tags：DODODODLBAMATICdodo幣創始人DODB幣lbank交易所官網app下載MATICBEAR價格

幣安下載