DODO - REKT

DODO는 2백만 달러를 해킹 당했으나, 동기는 명확치 않습니다.

한 가지 확실한 것은, 악의적인 해킹인지 화이트 해커의 소행인지는 몰라도, 과연 2백만 달러뿐일까요? 아마도 더 노력해야할 듯합니다.

트위터는 가장 빠르게 Defi 뉴스를 확인할 수 있는 출처입니다 - DODO 팀 또한 Luciano 를 통해 그들의 $WCRES / $USDT 풀이 위조 토큰들로 공격당해 자금이 빠져나갔다는 사실을 인지하였습니다.

다음의 분석들은 DODO 가 공식적으로 공개한 것으로, 감사하게도 @samczsun, @tzhen, PeckShield, 그리고 SlowMist분들께서 도움을 주셨습니다.

공격은 DODO V2 Crowdpool들을 타겟하여 일어났고 해당 풀은 WSZO, WCRES, ETHA, 그리고 FUSI 풀 입니다.

이번 공격으로, 총 380만 달러 중 다시 되돌려받을 것으로 예상되는(자세한 사항은 하단 참조) 188만 달러를 제외한 금액이 빠져나갔습니다.

DODO V2 Crowdpooling 스마트 컨트랙트는 init() 함수가 여러 번 호출될 수 있는 버그가 있었습니다. 이는 공격자가 다음의 방법으로 공격할 수 있음을 의미합니다:

1. 공격자가 위조된 토큰을 생성하고 init() 함수를 호출함으로써 스마트 컨트랙트를 시작합니다

2. 공격자는 sync() 함수를 호출하여 토큰 잔고를 나타내는 "리저브(reserve)" 변수를 0으로 세팅합니다

3. 공격자가 init() 을 다시 호출하여 재시작합니다 - 이번에는 "실제" 토큰으로 진행합니다(DODO 풀에서 사용되는 실제 토큰)

4. 공격자는 플래시 론으로 풀에서 모든 실제 토큰을 외부로 전송하면서 플래시 론 체크를 회피합니다

요약하자면, 이번 공격은 두 명의 개인이 연관되어있습니다. 이 둘을 A와 B로 지칭하겠습니다.

B는 frontrunning 봇의 모든 특성을 가지고 있습니다, 왜냐하면:

• 그들이 만든 컨트랙트 주소가 여러개의 0으로 시작합니다
• 그들은 CHI 가스 토큰을 활용하였습니다
• 엄청나게 높은 가스비를 설정하였습니다; 트랜잭션 하나는 93,148 gwei를 사용하도록 설정되었습니다

추가적으로, B의 공격은 A의 성공적인 공격에 10분 앞서서 진행되었습니다.

A

A 는 이미 samczsun을 통해 DODO 팀에게 접촉하여 DODO 풀에서 없어진 자금을 돌려주겠다고 제안했습니다. 다음은 A의 활동에 대한 세부 내역입니다:

A 는 중앙화된 거래소를 사용하였습니다.

A 가 바이낸스에서 0.46597 ETH를 출금 하였습니다:

A는 아마 바이낸스 브릿지를 활용하여 7 BUSD 출금 트랜잭션을 빠르게 실행 하였습니다:

A 는 자금을 다른 지갑 주소로 전송합니다.

A는 0xa305fab8bda7e1638235b054889b3217441dd645주소로 67,416 BUSD를 두 번 전송합니다 - 첫 번째 - 두 번째

A는 0xa305fab8bda7e1638235b054889b3217441dd645주소로 59,245.324743 USDT를 두 번 전송합니다: 첫 번째 두 번째

A는 DODO 스마트 컨트랙트에 두 번의 공격을 실행합니다.

첫 번째는 DODO-USDT 테스트 컨트랙트를 대상으로 진행되었으며, 자금은 0xa305fab8bda7e1638235b054889b3217441dd645 로 전송 되었습니다.

두 번째는 WCRES-UDST 컨트랙트를 대상으로 진행되었으며, 자금은 0x56178a0d5f301baf6cf3e1cd53d9863437345bf9 로 전송 되었습니다.

자금은 현재 다음의 두 주소에 있습니다:

0xa305fab8bda7e1638235b054889b3217441dd645

0x56178a0d5f301baf6cf3e1cd53d9863437345bf9

B

B는 봇일 가능성이 높습니다. (a robododo)

의심되는 봇 스마트 컨트랙트: 0x00000000e84f2bbdfb129ed6e495c7f879f3e634

발동시키는 계정 주소: 0x3554187576ec863af63eea81d25fbf6d3f3f13fc

B는 DODO 컨트랙트에 3번의 공격을 시행했습니다:

ETHA-USDT: 0x0b062361e16a2ea0942cc1b4462b6584208c8c864609ff73aaa640aaa2d92428

WSZO-USDT: 0xff9b3b2cb09d149762fcffc56ef71362bec1ef6a7d68727155c2d68f395ac1e8

vETH-WETH, 93,148 gwei 사용: 0x561f7ccb27b9928df33fa97c2fb99ea3750593e908f9f0f8baf22ec7ca0c5c4a

자금은 현재 다음의 두 주소에 있습니다:

0x00000000e84f2bbdfb129ed6e495c7f879f3e634

0x3554187576ec863af63eea81d25fbf6d3f3f13fc

DODO 팀은 위 지갑 주소의 주인과 접촉하기 위해 노력하고 있습니다.

비교적 적은 금액인 200만 달러가 익명의 공격자에게 당했습니다.

도난된 금액에 따라서 공격자가 악의적 해커인지 화이트 해커인지가 결정될 것입니다.

적은 금액 = 화이트 해커의 소행 - 큰 금액 = 이것을 가져다가 기존의 수백만에 추가하려는 소행.

우리는 이 개인들이 축적하고 있는 개인적인 보물들을 상상할 수 있을 뿐입니다. 밖에는 코딩을 배운 사람 뿐만 아니라 다른 사람들에게도 많은 기회들이 널려있기 때문입니다.

여기서 주목할 점은, 팀 자체도 자체 프로토콜 업데이트를 트위터에 의존한다는 점입니다. 이것은 이 산업이 아직 초기 단계에 있다는 것을 우리에게 진정으로 상기시켜주는 역할을 합니다.

이름을 날릴 기회는 분명합니다. 힘을 가지고 무엇을 할지는 여전히 여러분에게 달려 있습니다.

이미지 출처 - harrikallio.com & @BxST23

REKT는 익명 작성자들에 의한 공공 플랫폼이며, REKT에 작성된 관점이나 내용에 대해서 그 어떤 책임도 지지 않습니다.

기부 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

disclaimer:

REKT는 당사 웹 사이트의 익명의 작성자 또는 REKT에 의해 게시되거나 관련된 서비스에서 게시되는 콘텐츠에 대해 어떠한 책임도 지지 않습니다. 당사는 익명 작성자들의 행동 및 게시물에 대한 규칙을 제공하지만, 익명의 작성자가 웹 사이트 또는 서비스에 게시, 전송 혹은 공유한 내용을 통제하거나 책임지지 않으며, 귀하가 웹 사이트 또는 서비스에서 직면할 수 있는 불쾌함, 부적절함, 음란함, 불법 또는 기타 해로운 콘텐츠에 대해서도 책임을 지지 않습니다. REKT는 당사 웹 사이트 또는 서비스 사용자의 온라인 또는 오프라인 행위에 대한 책임을 지지 않습니다.