DOD:DODO攻擊事件分析：搬起“石頭”，竟砸了自己的腳？_中心化交易所

安全態勢感知平臺]輿情監測顯示，去中心化交易所DODO上的wCRES/USDT資金池似乎被黑客攻擊，轉移走價值近98萬美元的WrappedCRES和近114萬美元的USDT。據DODO官方回復目前團隊正在進行調查。

原文鏈接如下：

https://www.odaily.com/newsflashes/235047.html

DODO因vDODO合約漏洞暫時禁用vDODO合約轉賬功能:10月21日消息，去中心化交易平臺DODO稱，近期一位白帽黑客向DODO團隊報告了vDODO合約中的一個漏洞，此漏洞可能被用來降低vDODO持有者的推薦質押權益，影響用戶的潛在質押收入，不過用戶擁有的vDODO資產不受影響。當前，DODO團隊暫時禁用了vDODO合約的轉賬功能，以規避攻擊活動，目前正在尋找解決方案。[2022/10/21 16:33:49]

△圖1

DODO攻擊事件總結：已追回310萬美元，一周內恢復眾籌建池:3月10日消息，去中心化交易所DODO（DODO）公布了針對部分資金池被攻擊事件的進展，本次攻擊的主要原因是眾籌資金池合約初始化函數沒有防止重復調用，導致黑客重新初始化合約并通過閃電貸完成了攻擊。在此事件中共有三位參與者，一位黑客和兩個交易機器人，共有價值約380萬美元的資金受到攻擊，目前兩個交易機器人的所有者已經歸還了價值約310萬美元代幣。另外，價值約20萬美元的資金在中心化交易所被凍結，剩余價值約50萬美元的資金損失由DODO團隊承擔，所有資金將于24小時之內歸還。同時，已邀請了安全公司成都鏈安和慢霧科技進行新一輪代碼審計，預計一周內即可恢復眾籌建池功能。[2021/3/10 18:32:29]

成都鏈安安全團隊第一時間針對該事件啟動安全應急響應，并將事件細節分析進行梳理，以供參考。其實，該事件本身來說并不復雜，其攻擊流程也非常簡單。但因該事件涉及到“閃電貸”“重入攻擊”等熱門話題，因此成都鏈安認為有必要對該事件進行發聲。

印尼最大數字貨幣交易所INDODAX用戶量逼近國家證券交易所:INDODAX首席執行官表示Oscar Darmawan表示，每天有近3千新用戶注冊平臺進行比特幣、以太坊、瑞波等數字貨幣的交易。該平臺有望在2018年底之前擁有150萬個KYC注冊用戶。而擁有百年歷史的印度尼西亞證券交易所，現擁有118萬注冊用戶。[2018/3/15]

二、事件分析

該事件的攻擊原因主要在于合約的init函數未進行限制，從而導致攻擊者有權利進行調用，如圖2所示：

△圖2

經分析，攻擊者利用了DODO合約中提供的閃電貸工具，首先向合約轉移了兩種空氣幣。緊接著，發起了一筆閃電貸交易。在交易結束之前，調用合約的init函數將幣種指向空氣幣，從而躲過了閃電貸的歸還校驗，如圖3所示。

三、安全建議

成都鏈安安全團隊認為，本起事件并不復雜，但值得敲響警鐘，引起廣大項目方的注意。具體而言，首先是DODO的閃電貸函數是進行了重入校驗的，但由于init函數并沒有添加重入校驗，所以導致了類似重入攻擊的發生。

另外，結合成都鏈安審計團隊以往對項目方的安全審計經驗，由于目前代碼的復雜度越來越高，模塊化也隨之越來越多，有許多項目方雖然都使用了init函數進行管理，但需要提醒的是，init函數在solidity中也僅僅只是一個普通函數，在此呼吁廣大項目方與開發者引起重視。切記，不要誤以為取名為“init”，就只能進行一次調用。

同時，我們建議，在日常的安全防護中，項目方也需要做好事無巨細的安全加固工作；通過借助第三方安全公司的專業力量，采用“形式化驗證與人工審核”結合的復合式審計方法，方能實現對項目面面俱到的全方位護航。

Tags：DODDODOVDO中心化交易所DODbaseCoindodo.ioVDORA中心化交易所和去中心化交易所

Gate交易所