亲爱的社区的小伙伴们,
感谢大家的信任与支持,针对新加坡时间 3 月 9 日早晨 DODO 部分资金池被攻击的事件,我们已经调查清楚,本次攻击的主要原因是众筹资金池合约初始化函数没有防止重复调用,导致黑客重新初始化合约并通过闪电贷完成了攻击。
在此事件中共有三位参与者,一位黑客和两个交易机器人,共有价值约380万美金的资金受到攻击,目前两个交易机器人的所有者已经归还了价值约310万美金代币。
0xb1a 交易机器人
所有者地址:0xb1af124c860f819bf8de7d4c459e5b31fecdb95e
资金归还的转账明细:
- USDT: https://cn.etherscan.com/tx/0x6e743db045f3738b24c6dedc90bae62c6429f2f7fe8a086394b05a68b8f5867a
- ETH: https://cn.etherscan.com/tx/0xa0c522f3122ce89f4d20c0c4592574284db841abeabdf3c28d87771fdfe87b91
0x355 交易机器人
所有者地址:0x3554187576ec863af63eea81d25fbf6d3f3f13fc
资金归还的转账明细:
- WSZO: https://etherscan.io/tx/0xf339a7081e2d14e9521ce8fdcf66200ff940a0ecb20d3d5381881ab4c5b81407
- ETHA: https://etherscan.io/tx/0x3388d9fd4c6aaf352aa465e33a4e99b04f3b4b8b4684b5121e6036a843fcef91
- WCRES: https://etherscan.io/tx/0xcf047d3f83581687304c9ce5ba3b0b0990e7d45c9b25f6184612a1334c829ceb
- USDT: https://etherscan.io/tx/0x5c145b8ce5b8d11a9c57f787bc6b60b67d8e4f263a670809d1ba6da166d3c737
- ETH: https://etherscan.io/tx/0xd9984c36ef3327e14eff5123b73e7fd37bd2d7f36adf61e5d0f3ead9ae81f181
另外,价值约20万美金的资金在中心化交易所被冻结,剩余价值约50万美金的资金损失由DODO团队承担。所有资金将于24小时之内归还。
请注意,此事件只影响众筹建池项目的流动性提供者,主体为项目方。共有7名提供了流动性的用户的资产受到影响。如果你在众筹建池项目中提供过流动性,请与我们联系。contact@dodoex.io
其余授权过资产的用户未受影响。交易功能未受影响。V1版本资金池未受影响。
同时,我们已邀请了安全公司 PeckShield、成都链安和慢雾科技进行新一轮代码审计,预计一周内即可恢复众筹建池功能。
详细的攻击和追回资金的细节我们会在之后向社区公开。
非常感谢Paradigm的安全研究员Samczsun、我们的好友Tina 甄、1inch团队、安全公司派盾、安全公司慢雾以及币安的安全顾问的帮助与支持。
经过这次攻击事件的教训,我们会更加注重合约和平台资产的安全,将用户资产安全放在第一位。
感谢社区的耐心与支持 。