据消息,去中心化交易平台DODO的wCRES/USDTV2资金池被黑客攻击,转走价值近98万美元的wCRES和近114万美元的USDT。DODO表示,团队已下线相关资金池建池入口,该攻击仅影响DODOV2众筹池,除V2众筹池之外,其他资金池均安全;团队正在与安全公司合作调查,并努力挽回部分资金。更多后续消息请关注DODO官方社群公告。
慢雾安全团队在第一时间跟进并分析,下面将细节分析给大家参考。
WordPress旗下电商插件WooCommerce已支持Binance Pay:5月20日消息,WordPress 旗下电商插件 WooCommerce 新增对 Binance Pay 的支持,商家可以注册 Binance Pay 商户账户后添加 Binance Pay WooCommerce 插件来支持 Binance Pay 的法币和加密货币支付。[2023/5/20 15:15:41]
攻击细节分析
通过查看本次攻击交易,我们可以发现整个攻击过程非常简单。攻击者先将FDO和FUSDT转入wCRES/USDT资金池中,然后通过资金池合约的flashLoan函数借出wCRES和USDT代币,并对资金池合约进行初始化操作。
SPACE ID:“.arb”域名预注册Phase 2已启动上线:2月20日消息,去中心化域名协议SPACE ID宣布“.arb”域名预注册Phase 2已启动上线,预注册截止时间为UTC时间2月25日14点。此前拍卖获胜者现在可以注册赢得的域名,其他人则可以注册剩下的域名。SPACE ID还表示,SPACE ID 2.0现在已对所有人开放。[2023/2/21 12:18:20]
数字资产提供商Lirium宣布为南非洲地区的数字资产访问提供支持:金色财经报道,B2B2C数字资产基础设施解决方案提供商Lirium达成协议,为撒哈拉以南非洲地区最近推出的区块链平台Mara Wallet提供数字货币访问和结算服务。[2022/11/23 7:58:45]
为何存入FDO和FUSDT代币却能成功借出wCRES和USDT,并且初始化资金池合约呢?是因为资金池的闪电贷功能有漏洞吗?
接下来我们对flashLoan函数进行详细分析:
FTX Japan现已恢复日元提现服务:11月11日消息,FTX旗下日本加密衍生品交易所FTX Japan发布公告称,已恢复日元提现服务。
此前报道,日本金融厅已下令FTX Japan暂停运营。监管机构希望FTX Japan在2022年12月9日之前立即停止加密资产交易业务并停止接受新客户。[2022/11/11 12:50:21]
通过分析具体代码我们可以发现,在进行闪电贷时会先通过_transferBaseOut和_transferQuoteOut函数将资金转出,然后通过DVMFlashLoanCall函数进行具体外部逻辑调用,最后再对合约的资金进行检查。可以发现这是正常闪电贷功能,那么问题只能出在闪电贷时对外部逻辑的执行上。
通过分析闪电贷的外部逻辑调用,可以发现攻击者调用了wCRES/USDT资金池合约的init函数,并传入了FDO地址和FUSDT地址对资金池合约进行了初始化操作。
到这里我们就可以发现资金池合约可以被重新初始化。为了一探究竟,接下来我们对初始化函数进行具体的分析:
通过具体的代码我们可以发现,资金池合约的初始化函数并没有任何鉴权以及防止重复调用初始化的逻辑,这将导致任何人都可以对资金池合约的初始化函数进行调用并重新初始化合约。至此,我们可以得出本次攻击的完整攻击流程。
攻击流程
1、攻击者先创建FDO和FUSDT两个代币合约,然后向wCRES/USDT资金池存入FDO和FUSDT代币。
2、接下来攻击者调用wCRES/USDT资金池合约的flashLoan函数进行闪电贷,借出资金池中的wCRES与USDT代币。
3、由于wCRES/USDT资金池合约的init函数没有任何鉴权以及防止重复调用初始化的逻辑,攻击者通过闪电贷的外部逻辑执行功能调用了wCRES/USDT资金池合约的初始化函数,将资金池合约的代币对由wCRES/USDT替换为FDO/FUSDT。
4、由于资金池代币对被替换为FDO/FUSDT且攻击者在攻击开始时就将?FDO和FUSDT代币存入了资金池合约,因最终通过了闪电贷资金归还的余额检查而获利。
总结
本次攻击发生的主要原因在于资金池合约初始化函数没有任何鉴权以及防止重复调用初始化的限制,导致攻击者利用闪电贷将真币借出,然后通过重新对合约初始化将资金池代币对替换为攻击者创建的假币,从而绕过闪电贷资金归还检查将真币收入囊中。
参考攻击交易:
https://cn.etherscan.com/tx/0x395675b56370a9f5fe8b32badfa80043f5291443bd6c8273900476880fb5221e
标签:USDTUSDSDTRESUSDT币提到钱包有风控吗usdn币最新价格usdt币交易违法吗香港Fairy Forest NFT
2月4日下午,《从CryptoKitties到NBAToPShot,Flow的出圈之路》线上直播登陆链节点,在圆桌环节,分布式资本投资总监陆乐称,NFT实际上可以帮助项目冷启动,比如.
1900/1/1 0:00:00来源:01区块链,作者:孙翼2021年2月2日,《福布斯》杂志发布了第三届年度区块链50强榜单.
1900/1/1 0:00:00|合规联盟原创出品?|自中本聪发明比特币以来,加密货币与区块链技术引起了世界各国的广泛关注。区块链技术在发展的同时,也被一些犯罪分子作为牟利的工具.
1900/1/1 0:00:00据Cointelegraph2月5日消息,爱沙尼亚财政部正寻求制定更严格的加密许可证制度。爱沙尼亚财政部早在1月份就发布了立法草案,收紧了该国加密行业监管力度.
1900/1/1 0:00:00TheBlockResearch收集的数据显示,“NFT”一词在Google上的搜索量已达到历史最高水平,“NFT”是non-fungibletoken的缩写.
1900/1/1 0:00:00本文来源:新浪财经双线资本首席执行官、有“新债王”之称的杰弗里-冈拉克对比特币的看法有所改变。他周四表示,比特币可能是比黄金更好的交易对象.
1900/1/1 0:00:00
木星链