DOD:DODO攻擊事件分析：搬起“石頭”，竟砸了自己的腳？_TUR

一、事件概覽

北京時間2021年3月9日，根據輿情監測顯示，去中心化交易所DODO上的wCRES/USDT資金池似乎被黑客攻擊，轉移走價值近98萬美元的WrappedCRES和近114萬美元的USDT。據DODO官方回復目前團隊正在進行調查。原地址如下：https://www.odaily.com/newsflashes/235047.html

歐易Web3錢包與DODO達成官方合作:據DODO官方推特消息，歐易Web3錢包與DODO達成官方合作關系。用戶可連接歐易Web3錢包在DODO進行交易。歐易DEX已將DODO V1/V2接入流動性池，用戶可在歐易DEX通過Ethereum、BSC進行DODO交易。此外，歐易Web3錢包已在Discover板塊收錄DODO。

據悉，DODO是一個去中心化交易平臺。其采用主動做市商算法，并應用Chainlink預言機，可以讓用戶在DODO做市時不需要同時提供兩種資產。[2022/12/22 22:00:38]

dFuture與DODO 聯合舉辦交易挖礦活動已結束:據官方消息，去中心化衍生品交易協議 dFuture (DFT)參與DODO Raptor交易挖礦激勵活動已結束。

dFuture 是由 MIX 集團旗下 Mix Labs 打造的去中心化衍生品交易協議，采用QCAMM做市商協議，具有零滑點、高交易深度、零無償損失的特點。數據顯示，dFuture 24H 總交易量已突破1.6億美元。

DODO是一個由主動做市商（PMM）算法驅動的去中心化交易平臺。它的特點是具有高資本效率的流動性池，支持單邊代幣的流動性提供，減少無常損失，能最小化交易時的滑點，并提供SmartTrade 聚合交易服務。其投資機構包括：Pantera 、Three Arrows 、 Binance Labs 、Coinbase Ventures等，其他投資機構包括專業做市機構 CMS Holdings 和 Alameda Research等。[2021/4/16 20:27:29]

△圖1成都鏈安安全團隊第一時間針對該事件啟動安全應急響應，并將事件細節分析進行梳理，以供參考。其實，該事件本身來說并不復雜，其攻擊流程也非常簡單。但因該事件涉及到“閃電貸”“重入攻擊”等熱門話題，因此成都鏈安認為有必要對該事件進行發聲。二、事件分析

聚幣Jubi將于3月15日16:00上線DODO:據官方消息，聚幣Jubi將于2021年3月15日16:00（UTC+8）上線DODO，開通DODO/USDT幣幣交易市場，充值提現已開啟。現存入DODO可獲得聚幣“存幣即挖礦”雙倍存幣挖礦算力獎勵。

DODO是基于主動做市商算法的下一代鏈上流動性基礎設施。DODO作為一個去中心化交易平臺，采用資金池模式，純鏈上交易，支持新資產的無成本發行。[2021/3/15 18:45:36]

該事件的攻擊原因主要在于合約的init函數未進行限制，從而導致攻擊者有權利進行調用，如圖2所示：

△圖2經分析，攻擊者利用了DODO合約中提供的閃電貸工具，首先向合約轉移了兩種空氣幣。緊接著，發起了一筆閃電貸交易。在交易結束之前，調用合約的init函數將幣種指向空氣幣，從而躲過了閃電貸的歸還校驗，如圖3所示。

△圖3三、安全建議

成都鏈安安全團隊認為，本起事件并不復雜，但值得敲響警鐘，引起廣大項目方的注意。具體而言，首先是DODO的閃電貸函數是進行了重入校驗的，但由于init函數并沒有添加重入校驗，所以導致了類似重入攻擊的發生。另外，結合成都鏈安審計團隊以往對項目方的安全審計經驗，由于目前代碼的復雜度越來越高，模塊化也隨之越來越多，有許多項目方雖然都使用了init函數進行管理，但需要提醒的是，init函數在solidity中也僅僅只是一個普通函數，在此呼吁廣大項目方與開發者引起重視。切記，不要誤以為取名為“init”，就只能進行一次調用。同時，我們建議，在日常的安全防護中，項目方也需要做好事無巨細的安全加固工作；通過借助第三方安全公司的專業力量，采用“形式化驗證與人工審核”結合的復合式審計方法，方能實現對項目面面俱到的全方位護航。

Tags：DODDODOTURRESdodo幣行情DODO價格TURT幣ARES

芝麻開門交易所