DODO Crowdfunding Pool Attack Đánh giá toàn diện: Knights of the Dark Forest

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

DODO Crowdfunding Pool Attack Đánh giá toàn diện: Knights of the Dark Forest

DODO

2021-03-14 12:09

本文约2976字，阅读全文需要约12分钟

Đây là trận chiến giữa các robot diễn ra trong khu rừng tối tăm của Ethereum và những kẻ tấn công thực sự có rất ít lợi ích khi so sánh.

Lưu ý của biên tập viên: Bài viết này đến từDODOZooLưu ý của biên tập viên: Bài viết này đến từ

, Tác giả: Radar Bear, được Odaily sao chép với sự ủy quyền.

Có một bài báo được lưu hành rộng rãi "Ethereum: Dark Forest". Trong bài viết này, một "robot giao dịch toàn cầu" được giới thiệu. Robot này sẽ lắng nghe các giao dịch đã được phát nhưng chưa có trên chuỗi. Khi giao dịch ban đầu được xác định là có lãi, giao dịch tương tự sẽ được gửi với mức gas cao hơn để lấy giao dịch trước giao dịch ban đầu.

(Nếu bạn đã xem Naruto thì chẳng khác nào copy ninja Kakashi, copy nhẫn thuật của Zabuza và đánh phủ đầu)

Thế giới của Ethereum giống như một khu rừng tối đầy những robot này và mọi hành động của bạn đều được quan sát bí mật. Nghe có vẻ là một câu chuyện lạnh lùng và vô tâm, nhưng những gì chúng tôi sắp kể lại tràn đầy sự ấm áp và hào hiệp.

chúng tôi đã phạm sai lầm

Giờ Bắc Kinh vào ngày 9 tháng 3 lúc 8:00 sáng.

Tôi nhận được một cuộc gọi từ người quản lý cộng đồng nói rằng hợp đồng của chúng tôi đã bị hack vào lúc 5 giờ sáng. Tôi lập tức gọi cho đội kỹ thuật để kiểm tra tình hình.

Sau đó, chúng tôi phát hiện ra rằng có một kẽ hở trong chức năng khởi tạo của nhóm quỹ, có thể được gọi nhiều lần. Kẻ tấn công sử dụng khoản vay nhanh để cho vay tiền thật, sau đó thay thế cặp mã thông báo của nhóm quỹ bằng loại tiền giả do kẻ tấn công tạo ra bằng cách khởi tạo lại hợp đồng, do đó bỏ qua việc kiểm tra hoàn trả các khoản tiền cho vay nhanh.

Đây không phải là vấn đề với Peckshield, người chịu trách nhiệm kiểm tra, nhưng chúng tôi đã thực hiện một số sửa đổi để đơn giản hóa logic mã trước khi trực tuyến và đã bỏ lỡ một kiểm soát quyền. Chúng tôi đã phạm một sai lầm rất lớn.

May mắn thay, sự cố này chỉ ảnh hưởng đến một phần hoạt động kinh doanh của nhóm quỹ V2 của chúng tôi và mô-đun giao dịch không bị ảnh hưởng. Và chỉ có bên dự án bị ảnh hưởng và người dùng thông thường không bị thiệt hại.

Chúng tôi bắt đầu khắc phục ngay lập tức. Đội ngũ kỹ thuật đã giải cứu tất cả các khoản tiền còn sơ hở (khoảng 80.000 đô la Mỹ) trong vòng 15 phút. Sau đó, lối vào tòa nhà hồ bơi đã bị đóng trên sản phẩm và thiết bị đầu cuối vận hành đã đưa ra thông báo để thông báo cho người dùng và các bên tham gia dự án về tiến trình của vấn đề.

Đồng thời, chúng tôi đã thống kê các khoản lỗ, USDT, ETH và mã thông báo dự án trị giá khoảng 3,8 triệu đô la Mỹ. Ngay sau đó chúng tôi bắt đầu lần theo dấu vết.

Tin tốt từ samczsun

Vào lúc 8:30 sáng ngày 9 tháng 3, giờ Bắc Kinh.

Trong vòng nửa giờ sau khi vụ việc xảy ra, tôi nhận được một tin nhắn riêng từ samczsun mũ trắng, nói rằng một người bí ẩn không muốn nêu tên, chúng ta hãy gọi đó là Mr. Cheetah, "tình cờ lấy được" một trong những khoản tiền trị giá 189w Số tiền bị đánh cắp và ủy thác samczsun thông báo cho chúng tôi rằng họ sẵn sàng trả lại toàn bộ số tiền cho chúng tôi.

Ông Cheetah là ai, làm cách nào mà ông ta có được một phần số tiền bị đánh cắp và liệu ông ta có biết tung tích hoặc manh mối của số tiền bị đánh cắp còn lại không?

diễn biến khó hiểu

Sau khi phân tích sự kiện tấn công, chúng tôi thấy rằng có hai địa chỉ đã thực hiện cuộc tấn công mà chúng tôi gọi là Mr. Hippo (0x368) và Mr. Antelope (0x355).

Ông Hippo thực hiện hai cuộc tấn công. Trong số đó, 200.000 đô la Mỹ đã được đưa vào sàn giao dịch tập trung và chúng tôi đã ngay lập tức liên hệ với sàn giao dịch để đóng băng số tiền đó. Và một khoản tiền khác là US$189w trùng với số tiền mà ông Cheetah muốn trả lại cho chúng tôi. Vì vậy, chúng tôi suy đoán rằng ông Hippo phải là ông Cheetah, và ông ấy có thể là một hacker mũ trắng.

Ông Antelope dường như cũng không phải là người xấu. Cuộc tấn công của ông được thực hiện thông qua một "robot giao dịch toàn cầu". Phải mất một mức gasPrice lên tới 90.000gWei để gửi giao dịch và phí của người khai thác cho một giao dịch cũng cao như vậy như 8ETH. Xét từ manh mối trên dây chuyền, rất có thể robot của Mr.

Đây lại là một tin vui cho chúng tôi, nếu liên lạc được với ông Antelope thì có thể lấy lại được tiền.

bí ẩn ngày càng lớn hơn

Giờ Bắc Kinh vào ngày 9 tháng 3 lúc 21 giờ tối.

Sau một ngày chờ đợi, chúng tôi đã nhận được tiền hoàn lại từ ông Cheetah ($189w), đồng thời nhận được tin nhắn: Ông Cheetah không thừa nhận mình là ông Hippo.

Bây giờ bí ẩn càng trở nên lớn hơn, có ít nhất ba bên tham gia vào cuộc tấn công này! Ngoài ra, chúng tôi không biết làm thế nào mà ông Cheetah có được tài sản của ông Hippo. Vào thời điểm đó, người duy nhất mà chúng tôi có cơ hội thiết lập liên lạc là ông Cheetah, người đã quen thuộc với luật của khu rừng tối.

Mặc dù ông Cheetah muốn ẩn danh, nhưng thông qua samczsun và một số bạn bè, chúng tôi đã thông báo ý định thiết lập mối liên hệ trực tiếp với ông Cheetah. Sau vài giờ chờ đợi, tôi nhận được một tin nhắn riêng trên điện tín.

thế giới nhỏ bé

Ngày 10 tháng 3, giờ Bắc Kinh lúc 1:30 sáng

Tôi không ngờ rằng ông Cheetah lại là một người quen cũ mà tôi biết. Tôi biết anh ấy từ năm 2018, khi tôi vẫn đang làm công việc phát triển tại DDEX. Chúng ta sẽ cùng nhau thảo luận về các vấn đề phát triển hợp đồng. Tôi đã mất liên lạc sau khi rời DDEX và anh ấy không mong đợi tôi trở thành đối tác sáng lập của DODO.

Ông Cheetah nói với tôi rằng ông Hippo là kẻ tấn công. Anh ta chuyển số tiền thu được từ cuộc tấn công vào một hợp đồng, và hợp đồng này có một lỗ hổng và bất kỳ ai cũng có thể rút tiền. Ông Hippo đã bị robot của ông Cheetah giật mất khi ông đang rút tiền, do đó "vô tình lấy được" tiền.

Còn số tiền bị đánh cắp còn lại thì sao? Khi chúng tôi đang thảo luận về cách liên lạc với ông Antelope, ông ấy đã chủ động liên lạc với tôi.

toàn bộ điều

Ngày 10 tháng 3 lúc 3 giờ sáng giờ Bắc Kinh

Anh Antelope đã gửi email nặc danh cho tôi và tỏ ý sẵn sàng trả lại tiền (trị giá khoảng 1,2 triệu đô la Mỹ), cuối cùng tôi cũng thở phào nhẹ nhõm, hai phần quan trọng nhất đã được trả lại. Hơn nữa, ông Antelope đã tiết lộ cho chúng tôi rất nhiều sự kiện mà ông đã theo dõi, để cuối cùng chúng tôi có thể nhìn thấy bức tranh toàn cảnh của sự kiện.

(ở đây chúng tôi không liệt kê txHash rất cụ thể vì bạn bè của chúng tôi muốn giữ nó ở mức thấp)
Kẻ tấn công thực sự là ông Hippo.
Anh ta thực hiện hai cuộc tấn công, nhưng bị người máy của Mr. Antelope qua mặt.
Chán nản, ông Hippo đã dành một chút thời gian để viết một hợp đồng để bỏ qua bot giao dịch của ông Antelope, và lần này ông đã thành công. Tiền rơi vào hợp đồng của ông Hippo.
Nhưng khi ông Hippo rút tiền từ hợp đồng, ông lại bị chặn bởi robot giao dịch của ông Cheetah! Ông Antelope và ông Cheetah đã có một trận đấu khí, và ông Cheetah cuối cùng đã thắng. Cho đến nay, ông Hippo đã thực hiện 3 cuộc tấn công, nhưng không tìm thấy gì, tất cả đều bị robot cướp đi trong khu rừng tối!

Sau đó, ông Hippo đã thực hiện hai cuộc tấn công thành công, nhưng số tiền tương đối nhỏ và ông đã kiếm được tổng cộng khoảng 200.000 đô la Mỹ. chúng tôi vẫn đang theo đuổi tiền

Cuối cùng, trong vòng 24 giờ sau vụ tấn công, chúng tôi đã thu hồi được 3,1 triệu đô la trong số 3,8 triệu đô la bị đánh cắp.

rừng tối ấm áp

Có rất nhiều thợ săn trong khu rừng tối tăm, nhưng họ không lạnh lùng và tàn nhẫn như trong tưởng tượng của nhiều người. Một số thợ săn là loài động vật ăn cỏ to lớn hiền lành, hiệp sĩ của khu rừng tối, chặn số tiền bị đánh cắp từ tin tặc và trả lại cho nạn nhân.

Cho đến ngày nay, nhiều người vẫn nghĩ rằng thế giới tiền kỹ thuật số đầy rẫy những kẻ lừa đảo và tin tặc, và bị ràng buộc với những từ như giao dịch bất hợp pháp, gian lận và bảo vệ quyền. Nhưng trên thực tế, có rất nhiều vai trò khác nhau trong khu rừng này: các bên dự án DeFi, người dùng bình thường, những người nhiệt tình ăn dưa, những robot đầu cơ với kỹ năng võ thuật xuất sắc, những người mũ trắng luôn cảnh giác và trung lập trong thời gian thực, và những người nghiệp dư không nhất thiết phải như vậy. Tin tặc chính xác và tàn nhẫn, tin tặc chuyên nghiệp lành nghề ...

Cùng nhau, họ tạo thành một hệ sinh thái với công lý và đạo đức của riêng mình, và mỗi người tham gia ít nhiều đóng vai trò của một nhân viên thực thi pháp luật. Đối với các nhà phát triển trung thực, đó là một khu rừng tối ấm áp.

Cảm ơn mọi người

Một khó khăn, hỗ trợ P Plus. Sau khi bị tấn công, chúng tôi đã nhận được sự giúp đỡ từ rất nhiều bạn bè. Tôi rất may mắn khi có rất nhiều người tốt trong cộng đồng Ethereum. Họ đã giúp đỡ DODO trong lúc khó khăn nhất. Chúng tôi dành sự kính trọng cao nhất cho những hiệp sĩ và chính nghĩa trong Ethereum cộng đồng . Bao gồm các:
samczsun、Tina
1inch、Tokenlon、Binance、Huobi、Etherscan

Peckshield, SlowMist, Nhóm bảo mật Binance

Cũng có rất nhiều bạn bè đã động viên, an ủi chúng tôi, kể cả trong cạnh tranh, họ đã sát cánh cùng chúng tôi trong thời điểm quan trọng này. Điều này khiến chúng ta cảm thấy rằng có rất nhiều điều ấm áp ẩn dưới mật mã lạnh lùng, chẳng hạn như ca ngợi sự trung thực, khao khát sự công bằng và trân trọng danh tiếng.

ngoại truyện

https://etherscan.io/tx/0xb081e1aaf4ea7d6b819fc0ffa8230586854130e6b7313fa23a0cc4509b8c3886

Trước khi ông Antelope trả lại vETH, rô-bốt của ông đã rơi vào một cái bẫy hũ mật được thiết kế đặc biệt cho ông.

Cái bẫy này đã sử dụng 0,05ETH làm mồi nhử để lừa đảo 324 vETH, trị giá khoảng 500.000 đô la Mỹ. Chúng tôi không biết ai đã thiết kế cái bẫy này, đó có thể là ông Hippo bất đắc dĩ, hoặc có thể là một số khán giả.

Cuối cùng, anh Antelope đã hào phóng chia sẻ mất mát với chúng tôi.FlashbotsMặt khác, một số nhà nghiên cứu đang xây dựng một "cổng thông tin" trong khu rừng tối, chẳng hạn như Viện nghiên cứu MEV