一、事件概览
北京时间2021年3月9日,根据舆情监测显示,去中心化交易所DODO上的wCRES/USDT资金池似乎被黑客攻击,转移走价值近98万美元的WrappedCRES和近114万美元的USDT。据DODO官方回复目前团队正在进行调查。
原文链接如下:
https://www.odaily.com/newsflashes/235047.html
RabbitX宣布二期空投,6月底将进行快照:5月30日消息,RabbitX协议宣布二期空投计划,本期空投将奖励早期采用者、活跃用户、社区建设者。
本次空投将根据交易量、净存款、平均未平仓合约、RBX代币持有量、清算特别奖金等数据进行空投。
本次空投将向用户奖励RBX代币,快照将于2023年6月30日进行。
RabbitX是基于Starknet的去中心化衍生品交易平台,为用户提供无需许可的永续合约产品。[2023/5/31 11:48:59]
△图1?
SEC将对VanEck最新的比特币ETF申请的决定推迟到10月11日:金色财经报道,Bitcoin Archive在社交媒体上称,SEC将对VanEck最新的比特币ETF申请的决定推迟到10月11日。[2022/8/26 12:50:53]
成都链安安全团队第一时间针对该事件启动安全应急响应,并将事件细节分析进行梳理,以供参考。其实,该事件本身来说并不复杂,其攻击流程也非常简单。但因该事件涉及到“闪电贷”“重入攻击”等热门话题,因此成都链安认为有必要对该事件进行发声。
野村证券经济学家:现在预计美联储将在7月的会议上加息100个基点:7月14日消息,野村证券经济学家表示,我们现在预计美联储将在7月的会议上加息100个基点。(金十)[2022/7/14 2:11:27]
二、事件分析
该事件的攻击原因主要在于合约的init函数未进行限制,从而导致攻击者有权利进行调用,如图2所示:
△图2
经分析,攻击者利用了DODO合约中提供的闪电贷工具,首先向合约转移了两种空气币。紧接着,发起了一笔闪电贷交易。在交易结束之前,调用合约的init函数将币种指向空气币,从而躲过了闪电贷的归还校验,如图3所示。
△图3
三、安全建议
成都链安安全团队认为,本起事件并不复杂,但值得敲响警钟,引起广大项目方的注意。具体而言,首先是DODO的闪电贷函数是进行了重入校验的,但由于init函数并没有添加重入校验,所以导致了类似重入攻击的发生。
另外,结合成都链安审计团队以往对项目方的安全审计经验,由于目前代码的复杂度越来越高,模块化也随之越来越多,有许多项目方虽然都使用了init函数进行管理,但需要提醒的是,init函数在solidity中也仅仅只是一个普通函数,在此呼吁广大项目方与开发者引起重视。切记,不要误以为取名为“init”,就只能进行一次调用。
同时,我们建议,在日常的安全防护中,项目方也需要做好事无巨细的安全加固工作;通过借助第三方安全公司的专业力量,采用“形式化验证与人工审核”结合的复合式审计方法,方能实现对项目面面俱到的全方位护航。
今日消息: 灰度发布多项ETF相关职位招聘信息,资产管理总规模突破420亿美元;去中心化交易所DODO已追回189万美元资金;V神:预计1个月左右将推出完全兼容EVM的Rollup;美国住宅保修公司新增支持加密货币支付.
1900/1/1 0:00:00寄语------- 市场无是情的,临盘要时实做出改变;于荡震中收获,在端极中避险才在能市场实现长利久润。加货密币,行情瞬万息变;要保自持己的理性。傲天每天子单不多,执行最稳健回的本和止盈计划.
1900/1/1 0:00:00市场瞬息多变,保持一个冷静的头脑和良好的心态,一个成功的交易者所依靠的并不是一门独特的技术指标分析,而是具备正确的理念和操作方法,尊重趋势顺势操作,不盲目扛单,做到见好就收,积小胜为大胜,这样才能稳健长盈,跻身赢家之列.
1900/1/1 0:00:00我这里没有华丽的语言,只有实实在在的交易,以及明明郎朗的操作,市场只有一个方向,不是多头也不是空头,而是做对的方向。合理的风控+好的投资回报,让每个散户找到真正投资的乐趣,而不再是自己每天苦苦的交易却换来亏损的不断加大.
1900/1/1 0:00:00市场情绪:根据来自非小号的数据显示,截止发稿前24小时全市场主要虚拟币上涨家数占比64.60%,大幅多于下跌家数的35.40%,市场情绪明显升温。需要注意,该数据采集基础为24小时前,有一定滞后性,并不能作为唯一的研判依据.
1900/1/1 0:00:00ETH: 午间行情分析: 早间给出以太坊的空单成功把握105点利润,早间以太坊在1875附近直线下跌,暴跌到1758附近运行,刚刚午间拉升一波到达1812,技术指标来看,布林带向上运行.
1900/1/1 0:00:00