Nakuha ng MakerDAO Bounty Program ang 'Kritikal' na Bug Bago Ilunsad

Nag-patch ang MakerDAO ng "kritikal" na bug sa inilunsad pa nitong pag-upgrade ng Multi-Collateral DAI (MCD) na maaaring maglagay sa panganib ng higit sa 10% ng kabuuang collateral ng system.

Ang bug ay nahuli ng HackerOne user lucash-dev, WHO iniulat ito sa pamamagitan ng HackerOne forum at nakatanggap ng $50,000 na pabuya para sa pagtuklas ng potensyal na mapangwasak na kapintasan.

"Pinayagan ng aming sistema ng auction ang potensyal na umaatake na lumikha ng isang pekeng auction, karaniwang nag-aalok ng napakaliit na collateral para sa malaking halaga ng DAI," Chris Smith, isang senior software engineer para sa MakerDAO, sinabi sa CoinDesk. "Pagtitiwalaan ng system ang numerong iyon at gagamitin ito bilang kredito laban sa collateral sa system, na nagpapahintulot sa hacker na alisin ang iba pang collateral sa system."

Maaaring wasakin ng bug ang nakaplanong MCD ng MakerDAO. Sinabi ni Lucash-dev sa kanyang ulat na "pinapayagan nito ang isang umaatake na nakawin ang LAHAT ng collateral na nakaimbak sa sistema ng MCD sa panahon ng yugto ng pagpuksa - posibleng sa loob ng isang transaksyon."

Sinabi ni Lucash-dev sa CoinDesk:

"Iyon ay magiging nakapipinsala kung nangyari ito sa isang live na kapaligiran."

Ngunit hindi naging live ang bug o ang host ng pag-upgrade ng MCD – nahuli ito sa yugto ng pagsubok, bago nagkaroon ng access ang sinumang user sa system.

Parehong sinabi ng mga inhinyero ng lucash-dev at MakerDAO sa CoinDesk na walang pondo ng gumagamit ang nalagay sa panganib.

Sa ilalim ng bagong MCD, magagawa ng mga user na i-stake ang mga cryptocurrencies maliban sa ETH bilang collateral para mag-isyu ng bagong DAI. Ang halaga ng mga "collateralized debt positions" na ito ay kailangang tumugma sa DAI sa sirkulasyon dahil ang DAI ay isang kinatawan ng pera – katulad ng US dollar noong ito ay sinuportahan ng ginto. Ang ilang partikular na user ay maaaring mag-trigger ng liquidation mode upang balansehin ang system.

Sinabi ni Lucash-dev sa CoinDesk na may kasalanan ang system:

"Maaaring pumasok sa 'liquidation mode' ang bagong Multi-collateral DAI contracts - ibig sabihin, ang lahat ng nagmamay-ari ng DAI ay kokolektahin lang ang mga collateral token na naaayon sa kanilang DAI stake. Ang bug ay nagbibigay-daan sa isang attacker na linlangin ang system upang bigyan sila ng anumang bilang ng DAI (sa panahon lamang ng liquidation mode), na maaari namang ipagpalit ng lahat ng token na hawak bilang collateral!"

Sinamantala ng bug ang pagpapatupad ng kick contract ng MCD na nagpapahintulot sa mga user na mag-post ng mga huwad na auction, mag-isyu ng DAI, at pagkatapos ay mag-cash out ng collateral.

Sinabi ni Wouter Kampmann, pinuno ng engineering para sa MakerDAO, na ang mga Events sa pagsubaybay sa bug tulad nito ay nakagawian.

"Sa pamamagitan ng mga prosesong tulad nito ay nalalampasan mo ang system at siguraduhing ito ay ganap na secure hangga't maaari bago mo ilunsad ito."

Na-post ang bug noong Agosto 28 at na-patch noong Setyembre 26. Inihayag ito ni Lucash-dev sa publiko noong Oktubre 1.

Larawan ng hacker sa pamamagitan ng Shutterstock