據消息,去中心化交易平臺DODO的wCRES/USDTV2資金池被黑客攻擊,轉走價值近98萬美元的wCRES和近114萬美元的USDT。DODO表示,團隊已下線相關資金池建池入口,該攻擊僅影響DODOV2眾籌池,除V2眾籌池之外,其他資金池均安全;團隊正在與安全公司合作調查,并努力挽回部分資金。更多后續消息請關注DODO官方社群公告。
慢霧安全團隊在第一時間跟進并分析,下面將細節分析給大家參考。
攻擊細節分析
通過查看本次攻擊交易,我們可以發現整個攻擊過程非常簡單。攻擊者先將FDO和FUSDT轉入wCRES/USDT資金池中,然后通過資金池合約的flashLoan函數借出wCRES和USDT代幣,并對資金池合約進行初始化操作。
尼日利亞證券監管機構稱Binance的活動是非法的:金色財經報道,尼日利亞證券交易委員會在一份通知中表示,Binance的活動在尼日利亞是非法的,該委員會還命令所有加密貨幣平臺提供商停止招攬尼日利亞公民。
尼日利亞證券交易委員會稱,該公告重申6月9日的警告,其中提到了一家名為Binance Nigeria Ltd.的公司。Binance當時表示,該公司與其并無關聯。在周五的通知中,尼日利亞SEC特別提到了這家加密貨幣交易所的網站。
尼日利亞證券交易委員會去年表示,它將所有加密貨幣視為證券。該國一直在處理加密交易所的注冊申請,但在與中央銀行達成協議之前,不會完成注冊。中央銀行阻止了當地金融機構與加密服務提供商的互動。[2023/7/31 16:08:57]
為何存入FDO和FUSDT代幣卻能成功借出wCRES和USDT,并且初始化資金池合約呢?是因為資金池的閃電貸功能有漏洞嗎?
Cask Protocol上線Arbitrum:金色財經報道,Cask Protocol的自動資金流現在已經在Arbitrum上線,資金流包括:在DEX上自動購買加密貨幣、接受定期付款(web3訂閱)、經常性的P2P支付。[2023/1/7 10:59:05]
接下來我們對flashLoan函數進行詳細分析:
通過分析具體代碼我們可以發現,在進行閃電貸時會先通過_transferBaseOut和_transferQuoteOut函數將資金轉出,然后通過DVMFlashLoanCall函數進行具體外部邏輯調用,最后再對合約的資金進行檢查。可以發現這是正常閃電貸功能,那么問題只能出在閃電貸時對外部邏輯的執行上。
VeeFriends系列NFT24小時交易額增幅達227.17%:金色財經消息,據NFTGo.io數據顯示,VeeFriends系列NFT總市值達2.07億美元,在所有NFT項目總市值排名中位列第16;其24小時交易額為74,759.82美元,增幅達227.17%。截止發稿時,該系列NFT當前地板價為7.88ETH。[2022/7/22 2:31:27]
通過分析閃電貸的外部邏輯調用,可以發現攻擊者調用了wCRES/USDT資金池合約的init函數,并傳入了FDO地址和FUSDT地址對資金池合約進行了初始化操作。
到這里我們就可以發現資金池合約居然可以被重新初始化。為了一探究竟,接下來我們對初始化函數進行具體的分析:
通過具體的代碼我們可以發現,資金池合約的初始化函數并沒有任何鑒權以及防止重復調用初始化的邏輯,這將導致任何人都可以對資金池合約的初始化函數進行調用并重新初始化合約。至此,我們可以得出本次攻擊的完整攻擊流程。
攻擊流程
1、攻擊者先創建FDO和FUSDT兩個代幣合約,然后向wCRES/USDT資金池存入FDO和FUSDT代幣。
2、接下來攻擊者調用wCRES/USDT資金池合約的flashLoan函數進行閃電貸,借出資金池中的wCRES與USDT代幣。
3、由于wCRES/USDT資金池合約的init函數沒有任何鑒權以及防止重復調用初始化的邏輯,攻擊者通過閃電貸的外部邏輯執行功能調用了wCRES/USDT資金池合約的初始化函數,將資金池合約的代幣對由wCRES/USDT替換為FDO/FUSDT。
4、由于資金池代幣對被替換為FDO/FUSDT且攻擊者在攻擊開始時就將?FDO和FUSDT代幣存入了資金池合約,因最終通過了閃電貸資金歸還的余額檢查而獲利。
總結
本次攻擊發生的主要原因在于資金池合約初始化函數沒有任何鑒權以及防止重復調用初始化的限制,導致攻擊者利用閃電貸將真幣借出,然后通過重新對合約初始化將資金池代幣對替換為攻擊者創建的假幣,從而繞過閃電貸資金歸還檢查將真幣收入囊中。
參考攻擊交易:
https://cn.etherscan.com/tx/0x395675b56370a9f5fe8b32badfa80043f5291443bd6c8273900476880fb5221e
Tags:USDUSDTSDTWCRESCK USDusdt幣提現到銀行卡會凍結嗎imtoken里的usdt提現人民幣教程WCRES幣
尊敬的ZT用戶: MATICBEAR份額合并已完成,ZT現已重新開放MATICBEAR/USDT交易對的交易業務,由此給您帶來的不便敬請諒解.
1900/1/1 0:00:00尊敬的用戶: WBF即將在開放區上線HTDD/USDT交易對,具體上線時間請關注官方公告。 項目介紹: 恒通幣,這是一款?100%對標"wechat”的區塊鏈加密通訊工具,除了零成本的學?習使用.
1900/1/1 0:00:00陸百川3.9以太坊午間行情分析及操作策略總之歲月漫長,然而值得等待,如果需要一樣東西,就不要等別人施舍,而是自己去爭取,萬物皆有裂痕,那是光進來的地方,也許過去的一年,你曾被震蕩的行情消磨.
1900/1/1 0:00:00交易,是一個過程,而并非結果,而這個又不是朝夕就能練成的,漲跌是市場的常態,不是上漲就是下跌,而面對這種漲跌的態度決定著一切,做交易就像生活一樣,需要時間的積累,以及個人覺悟上的認知.
1900/1/1 0:00:00小鋤頭如何撬動大收益? 據官網公告,ZT挖礦寶已于今日上線“ZTB/BONBON-PCX”挖礦活動.
1900/1/1 0:00:00安全態勢感知平臺】輿情監測顯示,去中心化交易所DODO上的wCRES/USDT資金池似乎被黑客攻擊,轉移走價值近98萬美元的WrappedCRES和近114萬美元的USDT.
1900/1/1 0:00:00