安全态势感知平台]舆情监测显示,去中心化交易所DODO上的wCRES/USDT资金池似乎被黑客攻击,转移走价值近98万美元的WrappedCRES和近114万美元的USDT。据DODO官方回复目前团队正在进行调查。
原文链接如下:
https://www.odaily.com/newsflashes/235047.html
LBank蓝贝壳上线DODO 1-25倍永续合约交易:据官方消息,LBank蓝贝壳上线DODO 1-25倍永续合约交易。
据悉,LBank蓝贝壳于2月19日22:00上线DODO 1-25倍永续合约交易。
据了解,LBank推出的永续合约交易目前已上线BTC、ETH、ETC、XLM、BLZ、NEO、ZEC、BEL等多个币种,后续将陆续上线更多永续合约交易。更多详情请关注LBank官网公告。[2021/2/19 17:31:31]
△图1
DOT、DODO、OKB、FTT、INJ等代币今日创历史新高:CryptoDiffer在推特发布今日创历史新高(ATH)的代币图表,包括DOT、BTC、ETH、DODO、 REN、ORN、OKB、STX、FTT、HT、INJ、ANKR、BNB、CAKE、XVS。[2021/2/19 17:31:17]
成都链安安全团队第一时间针对该事件启动安全应急响应,并将事件细节分析进行梳理,以供参考。其实,该事件本身来说并不复杂,其攻击流程也非常简单。但因该事件涉及到“闪电贷”“重入攻击”等热门话题,因此成都链安认为有必要对该事件进行发声。
去中心化流动性聚合器Totle集成CoFiX和DODO:去中心化流动性聚合器Totle宣布为其聚合兑换工具Totle Swap新增支持新型自动化做市协议CoFiX Protocol和去中心化交易平台DODO。[2020/12/3 22:59:04]
二、事件分析
该事件的攻击原因主要在于合约的init函数未进行限制,从而导致攻击者有权利进行调用,如图2所示:
△图2
经分析,攻击者利用了DODO合约中提供的闪电贷工具,首先向合约转移了两种空气币。紧接着,发起了一笔闪电贷交易。在交易结束之前,调用合约的init函数将币种指向空气币,从而躲过了闪电贷的归还校验,如图3所示。
三、安全建议
成都链安安全团队认为,本起事件并不复杂,但值得敲响警钟,引起广大项目方的注意。具体而言,首先是DODO的闪电贷函数是进行了重入校验的,但由于init函数并没有添加重入校验,所以导致了类似重入攻击的发生。
另外,结合成都链安审计团队以往对项目方的安全审计经验,由于目前代码的复杂度越来越高,模块化也随之越来越多,有许多项目方虽然都使用了init函数进行管理,但需要提醒的是,init函数在solidity中也仅仅只是一个普通函数,在此呼吁广大项目方与开发者引起重视。切记,不要误以为取名为“init”,就只能进行一次调用。
同时,我们建议,在日常的安全防护中,项目方也需要做好事无巨细的安全加固工作;通过借助第三方安全公司的专业力量,采用“形式化验证与人工审核”结合的复合式审计方法,方能实现对项目面面俱到的全方位护航。
自2020年10月行情进入牛市后,越来越的投资者进入币圈。2020年12月16日比特币突破2万美金;2021年1月2日,比特币突破3万美金;2021年1月8日,比特币突破4万美金;2021年2月.
1900/1/1 0:00:00今日关注重点:第一点:比特币给出的多头回调机会支撑没有被触碰,显示了多头强势,同时上涨有了虚高的嫌疑,这是需要关注和调整的.
1900/1/1 0:00:00比特币、以太坊持续被机构买入,现在是真金白银阶段,可大胆跟进。后期,会出现喊单,到了这个阶段拒绝买入,而是不断卖出.
1900/1/1 0:00:00亲爱的安银小伙伴,ASwap流动池将于2021年03月09日17:00开放BSV-USDT和BSV-BTC挖矿奖励流动池.
1900/1/1 0:00:00美国住宅保修公司新增支持加密货币支付。ARW首席执行官RichardKaufman表示,“非常兴奋加入到数字风险投资中,我们的加密支付功能将与BitPay或CoinPayments等加密支付网关.
1900/1/1 0:00:00链闻消息,Web3.0波卡生态跨链隐私中间件协议RazeNetwork宣布完成种子轮融资,投资方包括SignumCapital、AU21Capital、CMSHoldings、MasterVen.
1900/1/1 0:00:00