[BlockSecDeFi攻击系列之五]以假乱真：DODOV2众筹池遭袭事件分析

去中心化金融 (DeFi) 作为区块链生态当红项目形态，其安全尤为重要。从去年至今，发生了几十起安全事件。

BlockSec 作为长期关注 DeFi 安全的研究团队 (https://blocksecteam.com)，独立发现了多起 DeFi 安全事件，研究成果发布在顶级安全会议中（包括 USENIX Security, CCS 和 Blackhat)。在接下来的一段时间里，我们将系统性分析 DeFi 安全事件，剖析安全事件背后的根本原因

往期回顾：

(1) [BlockSec DeFi 攻击分析系列之一] 我为自己代言：ChainSwap 攻击事件分析

(2) [BlockSec DeFi 攻击分析系列之二] 倾囊相送：Sushiswap 手续费被盗

(3) [BlockSec DeFi 攻击分析系列之三] 偷天换日：深度剖析 Akropolis 攻击事件

(4) [BlockSec DeFi 攻击分析系列之四] 表里不一：Sanshu lnu 的 Memestake 合约遭袭事件分析

0x0. 前言

北京时间 2021 年 3 月 9 日凌晨，以太坊 (Ethereum) 去中心化交易平台 DODO 的 多个 V2 众筹池遭到攻击，攻击者利用众筹池的合约漏洞，用自己创建的 token 套出了池内的 token，上演了一出狸猫换太子的把戏。只不过，从之后的分析来看，事情的发展显然偏离了攻击者的预期轨道……

如果您是个以太坊小白又恰巧喜欢看故事的话，可以从下面的0x1开始阅读。如果您喜欢简单直接的攻击分析的话，那可以下拉到0x2开始阅读。

接下来，就让大家跟我一起来看看攻击者到底做了什么，而当时又到底发生了什么。为了便于后文的讲述，就管这次的攻击者 (Attacker) 叫做小 A 吧。

0x1. 事件回顾

“攻击成功了吗？成功了，但没完全成功。” 这可能就是小 A 当时的心理写照

No code, no bug

有代码的地方，就可能有漏洞。智能合约虽然被人们冠以“智能”二字，但归根到底也是一段段的代码，因而也总被别有用心的人揪住它的漏洞搞一波钱实现财富自由。我们这次故事中的智能合约，就是 DODO 的 V2 众筹池合约。而我们的主角小 A，就是那个发现了该合约漏洞并试图趁机搞钱的人。

0x1.1 概念简析

提了这么多次 DODO V2 众筹池，那它到底是个啥玩意儿？简单来说呢，它就是个资金池，只不过本文中的资金所指代的并非我们日常接触到的法币，而是以太坊上的代币 (ERC20 token)。这种资金池在初始化的时候会设定两种链上有价值的 ERC20 token 作为这个池子的 token pair （记住这个点，之后要考的），然后用户可以正常使用这些池子提供的服务。在这次小 A 针对 DODO V2 众筹池的攻击中，就是利用了该池子提供的闪电贷 (flashloan)服务。

闪电贷 (flashloan) 相比于普通借贷，具有无需抵押即可借贷大量资金，加之还不上钱就状态回滚的特点。简单来说就是可以空手套白狼，要是最后借出的钱自己一通操作之后亏了还不上也不打紧，所有相关状态会回滚到借贷之前，而对于借贷者来说唯一的损失除了手续费之外，可能就只有时间了。使用闪电贷的逻辑也很简单，就是用户从资金池借钱--> 对借来的钱进行操作--> 还钱，而这些需要在一笔交易中完成。

Ok，简单了解完相关的概念之后，咱接着看小 A 的操作。

0x1.2 小 A 的骚操作

小 A 接下来做了两件事儿。

第一件事儿就是创建了两个 ERC20 token 的合约，说白了就是造了俩假币 ( 因为没价值 )，分别叫做 FDO 和 FUSDT. 创建完这俩假币之后呢小 A 就把它们存入到之后将被攻击的 DODO 池子里了。

小 A 做的第二件事儿就是使用了 DODO V2 众筹池的闪电贷 (flashloan) 服务。上文提到闪电贷使用逻辑中的一环就是对借来的钱进行操作，而本文的主角小 A 就是在这一环节上玩儿出了花样。

小 A 发现这个 DODO V2 众筹池是可以被重新人为初始化的，而且没什么限制。接着小 A 就在借出钱之后把这个池子重新初始化了，并且初始化时设定的 token pair 变成了小 A 自己造的俩假币 FDO/FUSDT (这就是之前提到的考点，现在考到了吧)。并且小 A 在借钱之前已经通过上文他做的第一件事儿把足量的两种假币都预先存入到了这个池子里，这就导致池子在检查小 A 欠钱情况的时候，所检查的 token 不再是之前的真币，而是小 A 存入其中的假币，加之数额也足够。这样一来小 A 就用假币套出了真币。

咱们可以对上述过程打个简单的比方，细节按下不表。就是有一家银行，这个银行就可以类比上文提到的资金池。同时该银行也有一个小本本拿来记账，只不过在小本本的首页有一条记录【本行只处理人民币，储备量 100】。至于其他的币种，美元也好，越南盾也好。用户也可以往里面存，但银行不管你，它的小本本上虽然也会记账，但核对时它只看涉及到人民币的记录。

为了类比众筹池可以被重新初始化的问题，可以这么理解。就是这个小本本有个问题，问题出在首页的这句【本行只处理人民币】的规定是用铅笔写的，并且这个小本本就放在窗口，外人拿个橡皮擦+铅笔就能改。然后这个问题被小 A 发现了，他先往这个银行存了 100 越南盾，银行会记账【小 A 往本行存入 100 越南盾】。然后小 A 又去银行借出 100 人民币，银行又记账【小 A 从本行借出 100 人民币】。注意银行会检查所有用户对人民币的借存情况并和储备量比对，从而确认是否有用户借了人民币但没还。

刚借完钱，小 A 就鸡贼地掏出准备好的铅笔 +橡皮将小本本首页的规定改为了【本行只处理越南盾，储备量 100】。然后银行核对金额的时候，因为规定改为了只处理越南盾，而查验的时候发现越南盾的储备量和小 A 存入的越南盾数额是一样的，说明没人欠银行钱。然后小 A 拿着借出来的人民币潇洒离去，不再回头。

小 A 针对 DODO V2 众筹池的攻击思路就如上文所述，小 A 接下来要做的就是把想法付诸实际行动。本文从合约代码层面要分析的攻击也就是上述提到的攻击，然而咱的故事还没完。不想接着看故事的看官可以直接下滑到0x2的攻击分析部分，剩下的看官，就请容我接着给您讲故事。

0x1.3 攻击过程：山路十八弯

第一回 . 螳螂捕蝉黄雀在后

咱书接上文。

项目方也就是 DODO 采用相同的逻辑创建了多个池子，而这些池子都有同样的漏洞。小 A 第一次瞄准的池子是(WSZO/USDT)池，WSZO 和 USDT 就是两种有价值的代币 ( ERC20 token)。他美滋滋的把自己的攻击逻辑写入一笔交易之后，就准备躺着收钱，可就在这时，出岔子了。

咱知道，以太坊上的交易存在交易费，这笔费用是用户支付给矿工的。所以矿工为了自身利益最大化，当他们从 pengding 池打包交易准备上链时会查看各条交易的交易费并排个序，交易费高的优先上链。而由于以太坊的去中心化机制，黑暗森林法则在这也同样适用。DeFi(去中心化金融)项目的攻击者、套利者抑或抢跑者潜伏在世界各地，一旦发现目标，就会一拥而上，至于最后谁能成功，除了技术等因素，就得看谁出的交易费高了。

回到主角小 A，他发现了漏洞准备趁机搞一波钱，可小 A 的举动被另一个角色--抢跑机器人--发现了，咱称这个抢跑机器人为小 B 吧。小 B 就在交易费上做了文章，他把交易的油费 (gas price)提高了，从而增加了这笔交易的交易费。这就使得矿工在打包交易的时候优先打包了小 B 的交易。一般把小 B 的这种操作叫做抢跑交易 (front running)。 等轮到打包小 A 交易的时候，WSZO/USDT 池子里的 WSZO 和 USDT 已经空空如也，只剩下一堆没啥价值的 (FDO/FUSDT)。

小 A 可能以为这一次的失败只是一次普通的抢跑交易，于是他又故技重施。只不过这次的目标换成了(ETHA/USDT)池，而且为了防止被抢跑，在这一次的交易中小 A 提高了交易的油费 (gas price)。可小 A 不知道的是，他已经被小 B 盯上了。

同样的套路，同样的手法，小 A 又一次被小 B 抢跑了交易。

第二回 . 半路杀出个程咬金

到目前为止，小 A 两次攻击都是给小 B 做了嫁衣，甚至自己还亏了交易费！小 A 那个气啊，于是痛定思痛，把目标瞄向了下一个池子(wCRES/USDT)。并且这一次小 A 成功的绕过了小 B 的监控。事情发展到现在似乎小 A 就要成功了，可现实就是喜欢和小 A 开玩笑。

第三次攻击虽然绕过了小 B，但小 A 把钱成功取出来之后并没有直接转移到自己的地址，而是创建了一个新合约来接收这笔钱。小 A 的想法是先把钱暂存在这个新合约内，之后再转移到自己的账户中。然而，小 A 的这个用来暂存赃款的合约又有个漏洞，就是任何人都能从这个合约中取出 (withdraw) 合约内的资金。

However, this contract had a loophole that allowed anyone to withdraw assets from it.

而恰巧这个漏洞，被另一个角色 (小 C) 发现了。于是，在小 A 发出一笔交易准备从这个合约中取回赃款的时候，又双叒被抢跑了，这不过这一次抢跑者变成了小 C。

看到这，小 A 既是攻击者，又是抢跑交易的受害者。这波啊，小 A 算是偷鸡不成蚀把米。

第三回 . 倔强的小 A

前文提到，具有同样逻辑漏洞的池子有多个。小 A又双叒叕准备发起他的第四次攻击了，这一次，目标换成了(DODO/USDT)池。这一次小 A 学聪明了，一方面他将暂存赃款的合约替换为了新合约，另一方面小 A 也将代币 (token) 转移的过程合并在了一笔交易中，以免出现像第三次攻击中被小 C 抢跑的情况。而这一次，不撞南墙不回头的小 A 终于成功用假币 (FDO/FUSDT) 搞到了真钱 (DODO/USDT)。

第四回 . 疯起来连自己都咬

四次攻击终获成功之后小 A 满足了吗？事实告诉我们答案是否定的。

不知道小 A 是怎么想的，可能是历经曲折终于成功导致兴奋过头。这第五次攻击，他的目标瞄向了 (wCRES/USDT) 池。是不是有点眼熟？没错！这个池子正是小 A 在第三次攻击中的目标池子。而经过第三次攻击的洗劫之后，这个池子已经从 (wCRES/USDT) 池变为了 (FDO/FUSDT) 池，即真币池成了假币池。因而在这一轮攻击中，小 A 用同样的攻击套路得到的结果无非就是拿着新假币去换旧假币……

而这俩假币还都是小 A 自己造的。可能，小 A 还是个怀旧的人吧……

咱们关于小 A 的故事，也走向了尾声。或许以太坊 (Ethereum) 对于攻击者而言就是一片黑暗森林，猎手与猎物的身份在这个特殊的竞技场也并非一成不变。终要记得，当你在凝视深渊的时候，深渊也在凝视着你。

ok，接下来就是正儿八经的攻击分析环节了。

准备好了吗？坐稳扶好，发车了。

0x2. 攻击分析

为便于理解，下文将以第三次攻击为例子来进行分析，涉及到的池子为(wCRES/USDT)池

0x2.1 代码分析

以下提到的函数都来源于资金池 (wCRES/USDT) 的合约代码，并且在本次攻击事件中被涉及。

0x2.1.1 getVaultReserve 函数

首先来看getVaultReserve函数，这个函数的功能很简单，就是当用户调用它的时候会返回当前池子里 token pair 的储量。

0x2.1.2 flashloan 函数

上图就是本次攻击中资金池合约的flashloan函数。可以看到当用户调用这个函数时，会先根据用户传入的baseAmount和quoteAmount这两个参数将相应数量的 token 转入参数assetTo所代表的地址。到此，就算是完成了闪电贷 (flashloan) 的借钱环节。顺着代码往下看，只要data不为空，就会触发外部逻辑。而这个外部逻辑，就是调用者自己实现的，本次攻击的实现，也正是在这个外部逻辑执行时做了手脚。

0x2.1.3 init 函数

上图就是本次攻击中最为关键的初始化函数 init. 可以注意到该函数是外部调用的，而且最关键的是，这个函数有以下两个特点：

【没有权限要求】这就意味着任何人都可以从外部调用这个函数。

【可被重复调用】则意味着这个 init 函数除了在该池子建池时被必要的调用一次后，仍然可以在任何时候被调用来重新初始化这个池子。

调用者调用这个函数时，所传入的两个参数 baseTokenAddress 和 quoteTokenAddress 会被用来给变量 _BASE_TOKEN_ 和 _QUOTE_TOKEN_ 分别的重新赋值。而这两个变量的改变就意味着这个池子的 token pair 也会发生改变。而这，便是wCRES/USDT池变FDO/FUSDT的原因。

0x2.2 攻击过程

攻击交易的流程如下图所示

交易流分析可以使用我们团队的交易分析工具 :? ?https://tx.blocksecteam.com/

Step 0

攻击者首先创建了两个 ERC20 代币的合约 (FDO 和 FUSDT)，可以简单理解为造了俩假币 (没价值)。并向自己的地址 (0x368a6) 分别转入了大量的这两种 token，为之后的攻击做铺垫。

Step 1

攻击者调用资金池合约的getVaultReserve函数，获取到 wCRES 和 USDT 当前在池子里的储量，为下一步攻击做准备。

Step 2

攻击者根据Step 1得到的储量，分别调用两个假币合约的transferFrom函数给资金池合约 (DLP)转入略多于该储量的假币 (FDO 和 FUSDT)，从而保证能通过flashloan函数的余额检查。

Step 3

攻击者接着调用资金池合约 (DLP) 的flashloan函数，借出了略少于资金池储量的真币 (wCRES 和 USDT)。

Step 4

flashloan函数在将 wCRES 和 USDT 转入到攻击者预先设置好的合约地址之后，会自动调用攻击者的外部逻辑。而攻击者就是在外部逻辑的实现中调用了 wCRES/USDT 这个池子的初始化函数init，将该池子的 token pair 替换为了 FDO/FUSDT。

Step 5

如下图，flashloan函数在执行完外部逻辑之后，会对当前池子的代币 (token) 余额进行检查。但需要注意的是，由于池子的 token pair 被替换为了 FDO/FUSDT，所以baseBalance和quoteBalance的所代表的余额也是 FDO 和 FUSDT 的余额。

同时，由于攻击者在Step2的时候已经往池子中存入了足量的 FDO 和 FUSDT，所以此时baseBalance和quoteBalance的值足够大，绕过了两个if判断，直接进入了最后的同步函数_sync。至此， 攻击者成功通过了flashloan的余额检查，实现了以假乱真。

0x3. 总结及安全建议

本次攻击之所以发生，最主要的问题出在 DODO V2 众筹池的init函数上。查看该函数的调用情况可以发现，正常的逻辑应该是该函数只能在刚建池的时候被调用一次，之后就应该设置访问权限，同时也不能被重复调用。攻击者就是利用了init函数可以被重复调用来重新初始化池子的这一漏洞，结合闪电贷 (flashloan) 将池子中的真币用假币套取了出来，从而完成了攻击。

因此，我们给相关项目方的建议有：

对项目合约的关键功能做好权限审核工作，以免核心函数由于权限要求过低被滥用引发不可预料的后果从而造成损失。

提高项目代码审计意识，项目上线前需咨询相关的区块链安全公司进行充分的安全审计，最大程度的保证项目安全。

0x4. 参考

https://mp.weixin.qq.com/s/1OrH7Ucqyt9sl7lkBBmb_g

https://medium.com/dodoex/dodo-pool-incident-postmortem-with-a-little-help-from-our-friends-327e66872d42

https://dodoexhelp.zendesk.com/hc/en-us/articles/900004851126-Important-update-regarding-recent-events-on-DODO

https://www.rekt.news/au-dodo-rekt/

—-

编译者/作者：BlockSec

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。