DODO 攻撃事件の分析: 「石」を持ち上げて自分の足を打つ?
成都链安
2021-03-09 07:33
本文约874字,阅读全文需要约3分钟
このインシデントが攻撃された主な理由は、コントラクトの init 関数が制限されていないため、攻撃者が呼び出し権限を持っていることです。
1. イベント概要
副題
北京時間の2021年3月9日、[Beosin-Eagle Eye]の世論監視によると、分散型取引所DODOのwCRES/USDT資金プールがハッキングされたようで、約98万ドル相当のWCRES(wCRES)とUSDTがハッキングされたようです。約114万ドル相当が送金されました。 DODO の公式回答によると、チームは現在調査中です。
元のリンクは次のとおりです。
成都宝信の保安チームは、この事件に対する保安緊急対応を直ちに開始し、参考のために事件の詳細な分析を整理した。実際、事件自体は複雑ではなく、攻撃プロセスも非常に単純です。しかし、この事件には「フラッシュローン」や「リエントランシー攻撃」といったホットな話題が含まれていたため、成都聯南氏はこの事件について声を上げる必要があると考えている。
2. イベント分析
2. イベント分析
このインシデントの攻撃の主な理由は、図 2 に示すように、コントラクトの init 関数が制限されていないため、攻撃者が呼び出しを行う権利を持っていることです。
△図2
画像の説明
△図3
副題
3. セキュリティに関する推奨事項
Chengdu Beosin のセキュリティ チームは、この事件は複雑なものではないと考えていますが、警鐘を鳴らしてプロジェクト関係者の大多数の注意を引く価値はあると考えています。具体的には、DODOのフラッシュローン機能にはリエントリーチェックが付いていますが、init関数にはリエントリーチェックが追加されていないため、同様のリエントリー攻撃が発生しています。
成都链安
作者文库
