Протокол DODO - REKT



Он умер или просто пошел баиньки? («dodo» в переводе с французского означает «спать», «баиньки» - прим. переводчика)

Протокол DODO подвергся хакерской атаке с использованием поддельной токенной атаки, было украдено 2 миллиона долларов, но мотив остается непонятным.

Одно можно сказать наверняка: не важно, кто взломал, этичный хакер или «черный». Но всего 2 миллиона долларов? Нужно попытаться получше.

Твиттер остается самым быстрым источником новостей в DeFi - даже команда DODO узнала от Luciano, что их собственный пул $WCRES / $USDT опустошили, использовав фальшивые токены.

Нижеследующий анализ взят из официального релиза DODO, и мы выражаем благодарность @samczsun, @tzhen, PeckShield и SlowMist.

Мишенью эксплоитов стали несколько краудпулов V2 протокола DODO, а именно WSZO, WCRES, ETHA, и пул FUSI.

В сумме в результате этих эксплоитов было выведено $3.8 миллионов, из которых $1.88 миллионов возможно удастся вернуть (об этом мы рассказываем дальше).

В смарт-контракте Crowdpooling протокола DODO V2 есть баг, который позволяет вызвать функцию init() много раз подряд. Это значит, что эксплоитер может осуществить атаку по следующему алгоритму:

1. Эксплоитер создает поддельный токен и инициализирует смарт-контракт, вызывая функцию init()

2. Эксплоитер вызывает функцию sync() и устанавливает «запасную» переменную, которая представляет собой баланс токенов, на значение 0.

3. Эксплоитер вызывает функцию init() снова, чтобы реинициализировать - на этот раз с помощью «настоящего» токена (т.е. токенов в пуле DODO)

4. Эксплоитер использует флэш-кредит, чтобы перевести все токены из пула и обойти проверку флэш-кредита.

В резюме говорится, что эксплоит совершили два человека. Назовем их Личность А и Личность Б.

У личности Б есть все признаки фронтранингового бота, потому что он:

  • Создал адрес контракта с префиксом из нескольких 0.
  • Использовал газ-токен CHI
  • Установил очень высокую цену на газ; в одном из случаев он поднял значение в настройках транзакции, чтобы использовать 93,148 gwei.

В дополнение, эксплоиты Личности Б опередили удачные эксплоиты Личности А на целых 10 минут.

Личность А

Личность A уже связалась с командой DODO через samczsun и предложила вернуть им фонды, которые вывела из их пулов. Вот подробный отчет о действиях Личности А:

Личность А взаимодействовала с централизованной биржей.

Личность A вывела 0.46597 ETH с Binance:

Личность A выполнила, в быстрой последовательности 7 транзакций по выводу BUSD (один из примеров по ссылке), возможно, с использованием Binance Bridge:

Личность А перевела свои фонды на адрес другого кошелька.

Личность А перевела 67,416 BUSD на адрес 0xa305fab8bda7e1638235b054889b3217441dd645 дважды: ОДИН - ДВА

Личность А перевела 59,245.324743 USDT на адрес 0xa305fab8bda7e1638235b054889b3217441dd645 дважды: ОДИН - ДВА

Личность А выполнила два эксплоита против смарт-контрактов DODO.

Первый против тестового контракта DODO-USDT, деньги были переведены на адрес 0xa305fab8bda7e1638235b054889b3217441dd645.

Второй против контракта WCRES-USDT, деньги были переведены на адрес 0x56178a0d5f301baf6cf3e1cd53d9863437345bf9.

Сейчас деньги находятся на этих двух адресах:

0xa305fab8bda7e1638235b054889b3217441dd645

0x56178a0d5f301baf6cf3e1cd53d9863437345bf9

Личность Б

Личность Б скорее всего бот. (dodo-робот)

Подозреваемый смарт-контракт бота: 0x00000000e84f2bbdfb129ed6e495c7f879f3e634

Адрес триггерного аккаунта: 0x3554187576ec863af63eea81d25fbf6d3f3f13fc

Личность Б выполнила 3 эксплоита против смарт-контрактов DODO:

ETHA-USDT: 0x0b062361e16a2ea0942cc1b4462b6584208c8c864609ff73aaa640aaa2d92428

WSZO-USDT: 0xff9b3b2cb09d149762fcffc56ef71362bec1ef6a7d68727155c2d68f395ac1e8

vETH-WETH, где использовалось 93,148 gwei: 0x561f7ccb27b9928df33fa97c2fb99ea3750593e908f9f0f8baf22ec7ca0c5c4a

Сейчас деньги находятся на этих двух адресах:

0x00000000e84f2bbdfb129ed6e495c7f879f3e634

0x3554187576ec863af63eea81d25fbf6d3f3f13fc

Сейчас команда DODO пытается связаться с владельцами этого адреса.

Анонимный игрок украл сравнительно маленькую сумму в $2 миллиона.

Очень похоже на то, что цвет шляпы меняется в зависимости от того, какую сумму можно украсть.

Маленькая сумма = белая шляпа и хайп - Большая сумма = забирай и прибавляй к остальным миллионам.

Можем себе только представить личные богатства, которые эти личности копят. Там столько же возможностей, и не только для тех, кто решил научиться кодированию.

Отдельного внимания заслуживает тот факт, что команды полагаются на Твиттер, чтобы узнавать новости о своих собственных протоколах. Этот инцидент служит напоминанием, что мы все еще находимся на ранней стадии развития индустрии.

С возможностью сделать себе имя все ясно. А что вы будете делать с властью - дело ваше.

Источник изображений: harrikallio.com & @BxST23


Поделиться

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.