SignalPlus宏观分析特别版: Negative Revisions
8 giờ trước
Phân tích sự cố tấn công của DODO: Nhấc “tảng đá” tự đập vào chân mình?
成都链安
2021-03-09 07:33
本文约874字,阅读全文需要约3分钟
Lý do chính cho cuộc tấn công của sự cố này là chức năng init của hợp đồng không bị hạn chế, điều này khiến kẻ tấn công có quyền gọi.
1. Tổng quan sự kiện
tiêu đề phụ
Vào ngày 9 tháng 3 năm 2021, theo giờ Bắc Kinh, theo quan sát dư luận của [Beosin-Eagle Eye], nhóm quỹ wCRES/USDT trên sàn giao dịch phi tập trung DODO dường như đã bị hack, Wrapped CRES (wCRES) trị giá gần 980.000 USD và USDT trị giá gần 1,14 triệu đô la đã được chuyển. Theo trả lời chính thức của DODO, nhóm hiện đang điều tra.
Link gốc như sau:
Đội ngũ an ninh của Thành Đô Beosin đã ngay lập tức đưa ra phản ứng khẩn cấp về an ninh đối với vụ việc và sắp xếp các phân tích chi tiết về vụ việc để tham khảo. Trên thực tế, sự cố tự nó không phức tạp và quá trình tấn công của nó cũng rất đơn giản. Tuy nhiên, vì vụ việc liên quan đến các chủ đề nóng như "các khoản vay chớp nhoáng" và "các cuộc tấn công tái nhập cư", Thành Đô Lianan cho rằng cần phải lên tiếng về vụ việc.
2. Phân tích sự kiện
2. Phân tích sự kiện
Lý do chính cho cuộc tấn công của sự cố này là chức năng init của hợp đồng không bị hạn chế, do đó kẻ tấn công có quyền gọi, như trong Hình 2:
△Hình 2
Mô tả hình ảnh
△Hình 3
tiêu đề phụ
3. Khuyến nghị bảo mật
Đội ngũ an ninh của Thành Đô Beosin tin rằng vụ việc này không phức tạp, nhưng đáng để gióng lên hồi chuông cảnh báo và thu hút sự chú ý của phần lớn các bên trong dự án. Cụ thể, chức năng flash loan của DODO có kiểm tra mục nhập lại, nhưng vì chức năng init không thêm kiểm tra mục nhập lại, nên các cuộc tấn công vào lại tương tự đã xảy ra.
成都链安
作者文库
推荐文章
