DODO攻擊事件分析：搬起“石頭”，竟砸了自己的腳？_VID:VIDC幣

安全態勢感知平臺]輿情監測顯示，去中心化交易所DODO上的wCRES/USDT資金池似乎被黑客攻擊，轉移走價值近98萬美元的WrappedCRES和近114萬美元的USDT。據DODO官方回復目前團隊正在進行調查。

原文鏈接如下：

https://www.odaily.com/newsflashes/235047.html

4個地址共計質押803萬枚DODO:8月8日消息，據Lookonchain監測，在領取DODO后，4位投資者選擇質押DODO而非拋售DODO，在過去2小時內共計質押803萬枚DODO（約合112萬美元）。[2023/8/8 21:31:30]

△圖1

成都鏈安安全團隊第一時間針對該事件啟動安全應急響應，并將事件細節分析進行梳理，以供參考。其實，該事件本身來說并不復雜，其攻擊流程也非常簡單。但因該事件涉及到“閃電貸”“重入攻擊”等熱門話題，因此成都鏈安認為有必要對該事件進行發聲。

Mask Network支持在推特使用DODO DEX、Augur等產品:去中心化交易平臺DODO發推稱，在推特可以直接使用DODO DEX交易任何代幣，這一功能由Mask Network實現。此外，預測市場Augur、以太坊無損彩票項目PoolTogether、DeFi儲蓄獎勵池GoodGhosting、Layer 2 DEX QuickSwap也表示即將/已經支持在推特使用其服務或者購買其代幣/產品。[2021/8/14 1:55:09]

二、事件分析

VIDYX將上線印尼交易所IndoDAX，打通法幣出入金通道:印度尼西亞最大交易所IndoDAX宣布，將于12月16日北京時間下午3點開通VIDYX代幣充值，并在12月17日北京時間下午3點開始正式交易。

IndoDAX是通過印尼政府注冊批準的交易所，用戶數量直逼印尼國家證券交易所，其旗下的幣種都擁有直接的印尼盾交易對，因此上線后將直接為VIDYX打通法幣出入金通道，為Vidy生態中傳統資源與用戶提供便捷渠道。據Vidy官方介紹，VIDYX在印尼有著強大的生態圈，當地主流媒體如CNN、CNBC均為Vidy合作客戶，為VIDYX提供了龐大的用戶基礎。此前，12月12日，VIDYX首發上線Gate.io交易所，開盤最高漲幅高達14倍。[2020/12/16 15:22:43]

該事件的攻擊原因主要在于合約的init函數未進行限制，從而導致攻擊者有權利進行調用，如圖2所示：

△圖2

經分析，攻擊者利用了DODO合約中提供的閃電貸工具，首先向合約轉移了兩種空氣幣。緊接著，發起了一筆閃電貸交易。在交易結束之前，調用合約的init函數將幣種指向空氣幣，從而躲過了閃電貸的歸還校驗，如圖3所示。

三、安全建議

成都鏈安安全團隊認為，本起事件并不復雜，但值得敲響警鐘，引起廣大項目方的注意。具體而言，首先是DODO的閃電貸函數是進行了重入校驗的，但由于init函數并沒有添加重入校驗，所以導致了類似重入攻擊的發生。

另外，結合成都鏈安審計團隊以往對項目方的安全審計經驗，由于目前代碼的復雜度越來越高，模塊化也隨之越來越多，有許多項目方雖然都使用了init函數進行管理，但需要提醒的是，init函數在solidity中也僅僅只是一個普通函數，在此呼吁廣大項目方與開發者引起重視。切記，不要誤以為取名為“init”，就只能進行一次調用。

同時，我們建議，在日常的安全防護中，項目方也需要做好事無巨細的安全加固工作；通過借助第三方安全公司的專業力量，采用“形式化驗證與人工審核”結合的復合式審計方法，方能實現對項目面面俱到的全方位護航。

Tags：DODDODOVIDYVIDdod幣官網Coindodo.iovidy幣下架VIDC幣

ADA