Chi tiết vụ hack $3.8M của DODO
Mới đây, DODO vừa trải qua một vụ hack với tổng thiệt hại lên đến $3.8M. Bài viết này nhằm giúp anh em biết được chi tiết sự việc, cũng như một vài nhận định về vụ hack này.
Diễn biến hiện trường
Theo thám tử, hiện trường có 2 hung thủ tham gia vào sự việc này, tạm gọi là Cá nhân A và Cá nhân B.
Cá nhân B có tất cả các dấu hiệu của một Frontrunning bot, bởi vì:
- Tên này đã xây dựng địa chỉ contract với rất nhiều số 0 ở đầu.
- Tiếp theo, Cá nhân B sử dụng CHI gastoken.
- Cuối cùng là set giá gas cực cao; trong một trường hợp, set cấu hình cho transaction với 93,148 gwei.
Ngoài ra, “thành tích” của Cá nhân B trước Cá nhân A khoảng mười phút.
Như đã nói, cá nhân B rất có thể là một bot. Smart contract bot bị nghi ngờ là Cá nhân B đã thực hiện 3 lần khai thác (exploit) đối với contract DODO.
Hung thủ đã tấn công vào DODO V2 Crowdpools cụ thể sau: WSZO, WCRES, ETHA, and FUSI pool.
Tài sản trong tất cả các pool khác, bao gồm tất cả các pool V1 và tất cả các pool không phải Crowdpool V2, đều an toàn. Tổng cộng, khoảng $3,8M, trong đó $1,88M dự kiến sẽ được trả lại (xem bên dưới để biết thêm thông tin), đã bị tiêu hết do những hoạt động khai thác này.
Smart contract của Crowdpooling DODO V2 có một lỗi cho phép hàm init () được gọi nhiều lần. Điều này có nghĩa là hung thủ có thể thực hiện một cuộc tấn công với các bước sau:
- Tạo token giả và chạy Smart contract với nó bằng cách gọi hàm init ().
- Gọi hàm sync () và đặt biến "reserve", đại diện cho token balance, thành 0.
- Gọi lại init () để khởi tạo lại - lần này bằng token “chính hãng” (token thật trong pool của DODO).
- Sử dụng Flash loan để chuyển tất cả các token thật từ các pools và bỏ qua Flash loan check.
Tuy nhiên, có vẻ lương tâm đã cắn rứt, nên Cá nhân A đã liên hệ với DODO qua @samczsun và đề nghị gửi lại số tiền bị xóa khỏi nhóm DODO, còn Cá nhân B chắc là Bot thật rồi, nên ko có lương tâm.
Đọc thêm: Tại sao Flash Loans là hình thức tấn công kiểu mới?
Ảnh hưởng khác?
Rất may mắn là những giao dịch trên nền tảng DODO không bị ảnh hưởng bởi sự việc này, cũng như các địa chỉ ví đã được phê duyệt DODO sẽ không bị ảnh hưởng bởi việc khai thác.
Đặc biệt DODO gửi lời cảm ơn đến @samczsun of Paradigm, @tzhen, PeckShield, SlowMist, 1inch Exchange, và Binance Smart Chain (BSC) team trong công cuộc đưa ra lời khuyên chuyên môn cũng như an ủi :))
Tổng kết
Nếu anh em để ý, những ngày vừa qua là thời gian “huy hoàng” của các nền tảng gọi vốn, trong đó có những cái tên đáng chú ý như Polkastarter, DAO Maker, Poolz,...
Dù góp mặt khá muộn, nhưng DODO cũng bắt đầu có kế hoạch tham gia vào sân chơi nền tảng gọi vốn, mở đầu với Fusible, CrescoFin. Cá nhân mình đánh giá, đây là một bước đi “đúng người”, nhưng hơi chậm “thời điểm”, vì trend chỉ phát triển cực mạnh khi đang ở đầu, DODO hiện giờ đã đi sau rất nhiều nền tảng.
Đã đi chậm hơn người ta, mà còn gặp hack khi vừa có tí khởi sắc. Liệu DODO sẽ có những bước đi nào tiếp theo? Anh em có gợi ý gì cho team DODO không? Nếu có thì hãy comment dưới đây để mình biết nhé, chứ muốn DODO biết thì có thể vào Telegram của team để DM cho họ =))