DODO - REKT



¿Está muerto o sólo se ha ido a dormir?

DODO fue hackeado por $2 millones usando un ataque de tokens falsos, pero el motivo sigue sin quedar claro.

Una cosa es segura, haya sido white o blackhat, ¿sólo $2 millones? Debe esforzarse más.

Twitter sigue siendo la fuente más rápida para las noticias de DeFi - incluso el equipo de DODO dependió de Luciano para informarle que su propia pool de $WCRES/$USDT había sido vaciado utilizando tokens falsos.

El siguiente análisis es un extracto del comunicado oficial de DODO, gracias a @samczsun, @tzhen, PeckShield, y SlowMist.

Los exploits se enfocaron en varias Crowdpools de DODO V2, específicamente las de WSZO, WCRES, ETHA y FUSI.

En total, aproximadamente $3.8 millones, de los cuales $1.88 millones se esperan que sean devueltos (ver abajo para más información), fueron sacados como resultado de estos exploits.

El smart contract de Crowdpooling de DODO V2 tiene un bug que permite llamar varias veces a la función init(). Esto significa que un exploiter puede realizar un ataque con los siguientes pasos:

1. El exploiter crea un token falsificado y lo utiliza para inicializar el smart contract, llamando la función init().

2. El exploiter llama la función sync() y fija la variable “reserve”, lo que representa el saldo de tokens, en 0.

3. El exploiter llama init() de nuevo para re-inicializar - ahora con un token “real” (i.e. un token dentro de las pools de DODO).

4. El exploiter utiliza un préstamo flash para transferir todos los tokens “reales” de las pools y esquivar la revisión del préstamo flash.

En resumen, hay dos individuos involucrados en este exploit. Haremos referencia a ellos como Individuo A e Individuo B.

Individuo B tiene todos los sellos distintivos de ser un bot de frontrunning, porque:

  • Construyó su dirección de contrato con un prefijo de varios 0s.
  • Usa el gastoken CHI
  • Fija precios de gas extremadamente altos; en una instancia aumentaron la configuración de la transacción para usar 93,148 gwei.

Además, los exploits del Individuo B precedieron los exploits exitosos del Individuo A por aproximadamente 10 minutos.

Individuo A

Individuo A ya se ha puesto en contacto con el equipo de DODO a través de samczsun y ofreció devolver los fondos sacados de las pools de DODO. Aquí hay un recuento detallado de las acciones de Individuo A:

Individuo A interactuó con un exchange centralizado.

Individuo A retiró 0.46597 ETH de Binance.

Individuo A ejecutó, en rápida sucesión, 7 transacciones de retirada de BUSD (ver el enlace para un ejemplo), posiblemente involucrando el Binance Bridge:

Individuo A transfirió sus fondos a otra dirección de cartera.

Individuo A transfirió 67,416 BUSD a 0xa305fab8bda7e1638235b054889b3217441dd645 dos veces - UNA - DOS

Individuo A transfirió 59,245.324743 USDT a 0xa305fab8bda7e1638235b054889b3217441dd645 dos veces - UNA - DOS

Individuo A ejecutó dos exploits contra smart contracts de DODO.

El primero fue ante el test contract de DODO-USDT, y los fondos fueron transferidos a 0xa305fab8bda7e1638235b054889b3217441dd645

El segundo fue ante el contrato WCRES-USDT, y los fondos fueron transferidos a 0x56178a0d5f301baf6cf3e1cd53d9863437345bf9.

Ahora, los fondos se encuentran en las siguientes dos direcciones:

0xa305fab8bda7e1638235b054889b3217441dd645

0x56178a0d5f301baf6cf3e1cd53d9863437345bf9

Individuo B

Lo más probable es que Individuo B sea un bot (un robododo).

El smart contract del presunto bot: 0x00000000e84f2bbdfb129ed6e495c7f879f3e634

Dirección de la cuenta desencadenante: 0x3554187576ec863af63eea81d25fbf6d3f3f13fc

Individuo B ejecutó 3 exploits contra contratos de DODO:

ETHA-USDT: 0x0b062361e16a2ea0942cc1b4462b6584208c8c864609ff73aaa640aaa2d92428

WSZO-USDT: 0xff9b3b2cb09d149762fcffc56ef71362bec1ef6a7d68727155c2d68f395ac1e8

vETH-WETH, con 93,148 gwei: 0x561f7ccb27b9928df33fa97c2fb99ea3750593e908f9f0f8baf22ec7ca0c5c4a

Ahora, los fondos se encuentran en las siguientes dos direcciones:

0x00000000e84f2bbdfb129ed6e495c7f879f3e634

0x3554187576ec863af63eea81d25fbf6d3f3f13fc

El equipo de DODO está actualmente intentando contactar a los dueños de dichas direcciones.

Un monto relativamente pequeño de $2 millones tomado por un actor anónimo.

Es probable que el color del hat cambie según las cantidades de dinero que haya disponibles.

Monto pequeño = white hat para ganar clout. Monto grande = tómalo y añádelo a los otros millones.

Sólo podemos imaginar los botines personales que acumula esta gente. Hay tantas oportunidades ahí afuera, y no sólo para aquellos que aprenden a programar.

Vale la pena notar que incluso los equipos mismos dependen de Twitter para obtener noticias sobre sus propios protocolos. Esto sirve como recordatorio de que verdaderamente estamos todavía en las primeras fases de esta industria.

La oportunidad de hacerte un nombre es clara - lo que hagas con el poder queda en tus manos.

Créditos de las imágenes - harrikallio.com & @BxST23


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.