DODO 공격 사건 분석: "바위"를 들어 자신의 발을 때린다?
成都链安
2021-03-09 07:33
本文约874字,阅读全文需要约3分钟
이 사건의 공격에 대한 주된 이유는 계약의 초기화 기능이 제한되지 않아 공격자가 호출할 수 있는 권한을 갖기 때문입니다.
1. 이벤트 개요
보조 제목
2021년 3월 9일 베이징 시간 [버신-이글아이] 여론 모니터링에 따르면 탈중앙화 거래소 DODO의 wCRES/USDT 펀드 풀이 해킹당한 것으로 보이며, $980,000에 가까운 Wrapped CRES(wCRES)와 USDT 거의 114만 달러의 가치가 이체되었습니다. DODO의 공식 답변에 따르면 현재 팀에서 조사 중입니다.
원래 링크는 다음과 같습니다.
Chengdu Beosin의 보안 팀은 즉시 사건에 대한 보안 비상 대응을 시작했으며 사건에 대한 자세한 분석을 참조용으로 분류했습니다. 사실 사건 자체는 복잡하지 않고 공격 과정도 매우 간단하다. 하지만 이 사건은 '플래시 론', '재진입 공격' 등 뜨거운 화제를 불러일으켰기 때문에 청두 리아난은 이 사건에 대해 목소리를 내야 한다고 생각한다.
2. 이벤트 분석
2. 이벤트 분석
이 사건의 공격에 대한 주된 이유는 계약의 초기화 기능이 제한되지 않아 공격자가 그림 2와 같이 호출할 수 있는 권한을 갖기 때문입니다.
△그림 2
이미지 설명
△그림 3
보조 제목
3. 보안 권장 사항
Chengdu Beosin의 보안 팀은 이 사건이 복잡하지는 않지만 경보를 울리고 프로젝트 당사자 대다수의 관심을 끌만한 가치가 있다고 생각합니다. 구체적으로 DODO의 플래시론 기능은 재진입 확인 기능이 있지만 init 기능은 재진입 확인을 추가하지 않기 때문에 유사한 재진입 공격이 발생했습니다.
成都链安
作者文库
推荐文章
