据消息,去中心化交易平台DODO的wCRES/USDTV2资金池被黑客攻击,转走价值近98万美元的wCRES和近114万美元的USDT。DODO表示,团队已下线相关资金池建池入口,该攻击仅影响DODOV2众筹池,除V2众筹池之外,其他资金池均安全;团队正在与安全公司合作调查,并努力挽回部分资金。更多后续消息请关注DODO官方社群公告。慢雾安全团队在第一时间跟进并分析,下面将细节分析给大家参考。攻击细节分析
安全监测:@Popcorn_DAO Discord 服务器遭攻击:金色财经报道,据SharkTeam链上分析平台 ChainAegis 安全监测显示,@Popcorn_DAO Discord 服务器遭攻击,正在发布虚假钓鱼网站,请勿点击发布的任何链接直至团队修复以免造成损失。[2023/6/21 21:52:20]
通过查看本次攻击交易,我们可以发现整个攻击过程非常短。攻击者先将FDO和FUSDT转入wCRES/USDT资金池中,然后通过资金池合约的flashLoan函数借出wCRES和USDT代币,并对资金池合约进行初始化操作。
印度经济事务部长:比特币和加密货币“不违法”:金色财经报道,据 bitcoinmagazine 在社交媒体透露,印度经济事务部长 Ajay Seth 表示比特币和加密货币在该国“不违法”,他解释称:“只有当某些事情被宣布为非法时,合法性问题才会出现,加密资产在(印度)这个国家并不违法,目前印度已经准备了一项经过内部讨论的草案。” Ajay Seth 是第二位澄清比特币“不违法”的印度官员,此前彭博社报道印度财政部长 TV Somanathan 也表示“买卖加密货币在印度并不违法”。[2023/2/4 11:47:12]
0xScope:2022年3月31日起至今,一币安存款地址从Huobi收到近7亿枚稳定币:1月13日消息,据0xScope Protocol监测,2022年3月31日起至今,0x66f7开头的币安存款地址从Huobi收到总计约6.89亿枚USDT和USDC。目前Huobi以太坊上USDT与USDC的持有量约为5.55亿枚。[2023/1/13 11:10:21]
为何存入FDO和FUSDT代币却能成功借出wCRES和USDT,并且初始化资金池合约呢?是因为资金池的闪电贷功能有漏洞吗?接下来我们对flashLoan函数进行详细分析:
ETH跌破1200美元,24H跌幅为2.56%:行情显示,ETH跌破1200美元,最低至1185美元;现报1191.96美元,24H跌幅为2.56%。[2022/12/28 22:12:05]
通过分析具体代码我们可以发现,在进行闪电贷时会先通过_transferBaseOut和_transferQuoteOut函数将资金转出,然后通过DVMFlashLoanCall函数进行具体外部逻辑调用,最后再对合约的资金进行检查。可以发现这是正常闪电贷功能,那么问题只能出在闪电贷时对外部逻辑的执行上。通过分析闪电贷的外部逻辑调用,可以发现攻击者调用了wCRES/USDT资金池合约的init函数,并传入了FDO地址和FUSDT地址对资金池合约进行了初始化操作。
到这里我们就可以发现资金池合约可以被重新初始化。为了一探究竟,接下来我们对初始化函数进行具体的分析:
通过具体的代码我们可以发现,资金池合约的初始化函数并没有任何鉴权以及防止重复调用初始化的逻辑,这将导致任何人都可以对资金池合约的初始化函数进行调用并重新初始化合约。至此,我们可以得出本次攻击的完整攻击流程。攻击流程
1、攻击者先创建FDO和FUSDT两个代币合约,然后向wCRES/USDT资金池存入FDO和FUSDT代币。2、接下来攻击者调用wCRES/USDT资金池合约的flashLoan函数进行闪电贷,借出资金池中的wCRES与USDT代币。3、由于wCRES/USDT资金池合约的init函数没有任何鉴权以及防止重复调用初始化的逻辑,攻击者通过闪电贷的外部逻辑执行功能调用了wCRES/USDT资金池合约的初始化函数,将资金池合约的代币对由wCRES/USDT替换为FDO/FUSDT。4、由于资金池代币对被替换为FDO/FUSDT且攻击者在攻击开始时就将FDO和FUSDT代币存入了资金池合约,因最终通过了闪电贷资金归还的余额检查而获利。总结
本次攻击发生的主要原因在于资金池合约初始化函数没有任何鉴权以及防止重复调用初始化的限制,导致攻击者利用闪电贷将真币借出,然后通过重新对合约初始化将资金池代币对替换为攻击者创建的假币,从而绕过闪电贷资金归还检查将真币收入囊中。参考攻击交易:https://cn.etherscan.com/tx/0x395675b56370a9f5fe8b32badfa80043f5291443bd6c8273900476880fb5221e
作者简介于佳宁,经济学博士,权威区块链专家,数字经济学家,曾任工业和信息化部信息中心工业经济研究所所长等职务,曾参与多项国家政策起草研究工作.
1900/1/1 0:00:00库克协议发起之时,我们就强烈支持将与项目相关的任何事物都以去中心化地方式推进。甚至包括库克协议的融资计划,我们也更偏爱去中心化方式,而不是传统的中心化融资方式.
1900/1/1 0:00:00降低普通用户投资DeFi门槛,DAOventures将如何捕获DeFi最大价值?根据用户风险承受程度制定投资组合策略.
1900/1/1 0:00:00这个三月无疑是属于NFT的,反正只要是和NFT相关的概念币都迎来了暴涨,除了代币,在现实层面也带来了巨量的财富效应.
1900/1/1 0:00:00美国超威半导体公司AMD已确认不会限制显卡的挖矿功能。此前其竞争对手英伟达曾宣布在新发布的显卡产品上限制以太坊挖矿功能,不少人都担心AMD会效仿英伟达也限制显卡挖矿功能.
1900/1/1 0:00:00编者按:本文来自链闻ChainNews,星球日报经授权发布。撰文:Multimyst,CyberightCapital首席研究员,CyberightCaptial是一家以第一性原理驱动的投资公司.
1900/1/1 0:00:00
月亮链