据消息,去中心化交易平台DODO的wCRES/USDTV2资金池被黑客攻击,转走价值近98万美元的wCRES和近114万美元的USDT。DODO表示,团队已下线相关资金池建池入口,该攻击仅影响DODOV2众筹池,除V2众筹池之外,其他资金池均安全;团队正在与安全公司合作调查,并努力挽回部分资金。更多后续消息请关注DODO官方社群公告。
慢雾安全团队在第一时间跟进并分析,下面将细节分析给大家参考。
攻击细节分析
通过查看本次攻击交易,我们可以发现整个攻击过程非常简单。攻击者先将FDO和FUSDT转入wCRES/USDT资金池中,然后通过资金池合约的flashLoan函数借出wCRES和USDT代币,并对资金池合约进行初始化操作。
David Rubenstein:比特币将继续存在,对没有在100美元时买入感到遗憾:金色财经报道,亿万富翁、私募股权巨头Carlyle Group联合创始人David Rubenstein在彭博社采访中表示, 比特币 (BTC) 将继续存在,这要归功于贝莱德 (BlackRock) 申请比特币 ETF 现货的机构兴趣的增长,以及全球对政府无法控制的货币形式的普遍需求。 他说:“世界各地的很多人都希望能够以政府无法知道他们拥有什么的货币进行交易,并且他们希望能够正确或错误地转移这种货币,所以我认为比特币不会离开,会继续发展”。
Rubenstein承认,他对没有在比特币100美元时买入感到遗憾。他表示,鉴于贝莱德等传统金融巨头最近的兴趣,曾经嘲笑加密货币和整个行业的人们可能会被迫重新审视。Rubenstein此前曾透露,他个人投资于促进加密货币交易的公司,尽管他没有直接拥有任何加密货币。[2023/8/9 21:33:08]
为何存入FDO和FUSDT代币却能成功借出wCRES和USDT,并且初始化资金池合约呢?是因为资金池的闪电贷功能有漏洞吗?
Layer 1区块链Venom Foundation公共测试网现已上线:4月26日消息,Layer 1区块链Venom Foundation宣布其公共测试网已上线,用户通过参与Venom的测试网并反馈意见可收集NFT徽章。此外Venom还将推出总奖池为22.5万美元的生态系统黑客松。目前,在Venom测试网上线的DApp包括Venom Wallet、Venom Scan、Venom Pools、Venom Bridge、Venom Stake、Web3.World、WeUp、NFT Mint、Oasis.Gallery等。[2023/4/26 14:27:20]
接下来我们对flashLoan函数进行详细分析:
美股三大指数集体高开,标普500指数涨0.62%:行情显示,美股三大指数集体高开,道指涨0.68%,纳指涨0.79%,标普500指数涨0.62%。[2022/6/1 3:56:53]
通过分析具体代码我们可以发现,在进行闪电贷时会先通过_transferBaseOut和_transferQuoteOut函数将资金转出,然后通过DVMFlashLoanCall函数进行具体外部逻辑调用,最后再对合约的资金进行检查。可以发现这是正常闪电贷功能,那么问题只能出在闪电贷时对外部逻辑的执行上。
通过分析闪电贷的外部逻辑调用,可以发现攻击者调用了wCRES/USDT资金池合约的init函数,并传入了FDO地址和FUSDT地址对资金池合约进行了初始化操作。
到这里我们就可以发现资金池合约居然可以被重新初始化。为了一探究竟,接下来我们对初始化函数进行具体的分析:
通过具体的代码我们可以发现,资金池合约的初始化函数并没有任何鉴权以及防止重复调用初始化的逻辑,这将导致任何人都可以对资金池合约的初始化函数进行调用并重新初始化合约。至此,我们可以得出本次攻击的完整攻击流程。
攻击流程
1、攻击者先创建FDO和FUSDT两个代币合约,然后向wCRES/USDT资金池存入FDO和FUSDT代币。
2、接下来攻击者调用wCRES/USDT资金池合约的flashLoan函数进行闪电贷,借出资金池中的wCRES与USDT代币。
3、由于wCRES/USDT资金池合约的init函数没有任何鉴权以及防止重复调用初始化的逻辑,攻击者通过闪电贷的外部逻辑执行功能调用了wCRES/USDT资金池合约的初始化函数,将资金池合约的代币对由wCRES/USDT替换为FDO/FUSDT。
4、由于资金池代币对被替换为FDO/FUSDT且攻击者在攻击开始时就将?FDO和FUSDT代币存入了资金池合约,因最终通过了闪电贷资金归还的余额检查而获利。
总结
本次攻击发生的主要原因在于资金池合约初始化函数没有任何鉴权以及防止重复调用初始化的限制,导致攻击者利用闪电贷将真币借出,然后通过重新对合约初始化将资金池代币对替换为攻击者创建的假币,从而绕过闪电贷资金归还检查将真币收入囊中。
参考攻击交易:
https://cn.etherscan.com/tx/0x395675b56370a9f5fe8b32badfa80043f5291443bd6c8273900476880fb5221e
合约对于散户的优势策略建议类似田忌赛马,散户和主力相比劣势很多,但也并不是全面劣势,也会有机会以自己的优势来对别人的弱势获利。结合当下的行情,我会给出一些比较实用的意见.
1900/1/1 0:00:00据消息,去中心化交易平台DODO的wCRES/USDTV2资金池被黑客攻击,转走价值近98万美元的wCRES和近114万美元的USDT.
1900/1/1 0:00:00作者|秦晓峰?编辑|Mandy出品?|?Odaily星球日报今天,是105个国际妇女节。过去的百年中,女性的身影一直出现在引领各领域发展的前沿,用勇敢和勇气探索前路,在加密市场演进中,女性力量同.
1900/1/1 0:00:00经过几个月的规划,以太坊社区为即将到来的柏林升级制定了时间表,这是以太坊发展路线图中的一个重要里程碑。TimBeiko周一写道,柏林硬分叉计划于4月14日在区块高度12244000处进行.
1900/1/1 0:00:00MyNeighborAlice主打类「动森」的多人建造游戏。理解MyNeighborAlice的创意与定位,挖掘更有趣的产品玩法,一览项目进度与其展望,一切尽在Odaily星球日报超话社区.
1900/1/1 0:00:00尊敬的用户:WBF将在Defi上线TBCK/USDT交易对,具体时间安排如下:交易时间:2021-3-10?16:00充提暂不开启项目介绍:大数据协议(BigDataProtocol)通过141.
1900/1/1 0:00:00
月亮链