搬起石头竟砸了本身的脚DODO攻击事件阐明

一、事件概览

北京时间2021年3月9日，按照【链必安-区块链宁静态势感知平台（Beosin-Eagle Eye）】舆情监测显示，往中央化生意业务所DODO上的wCRES/USDT资金池似乎被黑客攻击，转移走价值近98万美元的Wrapped CRES（wCRES）和近114万美元的USDT。据DODO官方答复今朝团队正在举行观察。原文链接如下：https://www.odaily.com/newsflashes/235047.html

图1成都链安（Beosin）宁静团队第一时间针对该事件启动宁静应急响应，并将事件细节阐明举行梳理，以供参考。实在，该事件自己来说并不庞大，其攻击流程也很是简朴。但因该事件涉及到“闪电贷”“重进攻击”等热点话题，因此成都链安认为有须要对该事件举行发声。二、事件阐明该事件的攻击原因主要在于合约的init函数未举行限制，从而导致攻击者有权利举行挪用，如图2所示：

图2经阐明，攻击者操纵了DODO合约中提供的闪电贷东西，首先向合约转移了两种空气币。紧接着，建议了一笔闪电贷生意业务。在生意业务竣事之前，挪用合约的init函数将币种指向空气币，从而藏过了闪电贷的偿还校验，如图3所示。

图3三、宁静发起成都链安（Beosin）宁静团队认为，本起事件并不庞大，但值得敲响警钟，引起宽大项目方的注意。详细而言，首先是DODO的闪电贷函数是举行了重进校验的，但因为init函数并没有添加重进校验，所以导致了雷同重进攻击的产生。另外，联合成都链安审计团队以去对项目方的宁静审计经验，因为今朝代码的庞大度越来越高，模块化也随之越来越多，有很多项目方虽然都使用了init函数举行办理，但需要提醒的是，init函数在solidity中也仅仅只是一个普通函数，在此呼吁宽大项目方与开辟者引起正视。切记，不要误觉得取名为“init”，就只能举行一次挪用。同时，我们发起，在日常的宁静防护中，项目方也需要做功德无大小的宁静加固事情；通过借助第三方宁静公司的专业气力，接纳“形式化验证与人工审核”联合的复合式审计要领，方能实现对项目面面俱到的全方位护航。