Il programma MakerDAO Bounty rileva un bug "critico" prima del lancio

MakerDAO ha corretto un bug "critico" nel suo aggiornamento Multi-Collateral DAI (MCD) ancora da lanciare, che avrebbe potuto mettere a rischio più del 10% delle garanzie totali del sistema.

Il bug è stato rilevato dall'utente HackerOnesviluppo lucash, Chi segnalato tramite HackerOneforum e ha ricevuto una ricompensa di 50.000 dollari per aver scoperto una falla potenzialmente devastante.

"Il nostro sistema di aste ha permesso al potenziale aggressore di creare un'asta falsa, offrendo sostanzialmente pochissime garanzie per una grande quantità di DAI", ha detto a CoinDesk Chris Smith, un ingegnere software senior per MakerDAO. "Il sistema si sarebbe fidato di quel numero e lo avrebbe usato come credito contro le garanzie nel sistema, consentendo all'hacker di sostanzialmente togliere quell'altra garanzia dal sistema".

Il bug avrebbe potuto devastare il MCD pianificato da MakerDAO. Lucash-dev ha affermato nel suo report che "consente a un aggressore di rubare TUTTE le garanzie conservate nel sistema MCD durante la fase di liquidazione, possibilmente all'interno di una singola transazione".

Lucash-dev ha detto a CoinDesk:

"Sarebbe un disastro se mai accadesse in un ambiente reale."

Ma né il bug né l'host di aggiornamento MCD sono mai stati attivati: sono stati individuati durante la fase di test, prima che gli utenti avessero accesso al sistema.

Sia gli ingegneri di lucash-dev che quelli di MakerDAO hanno dichiarato a CoinDesk che i fondi degli utenti non sono mai stati messi a rischio.

Con il nuovo MCD, gli utenti potranno puntare criptovalute diverse da ETH come garanzia per emettere nuovi DAI. Il valore di queste "posizioni di debito garantite" deve corrispondere ai DAI in circolazione, poiché i DAI sono una valuta rappresentativa, proprio come lo era il dollaro USA quando era sostenuto dall'oro. Alcuni utenti possono attivare una modalità di liquidazione per bilanciare il sistema.

Lucash-dev ha detto a CoinDesk che il sistema aveva un guasto:

"I nuovi contratti DAI multi-collaterali possono entrare in una 'modalità di liquidazione', ovvero chiunque possieda DAI raccoglierà solo i token collaterali corrispondenti alla propria quota DAI . Il bug consente a un aggressore di ingannare il sistema per ottenere un numero qualsiasi di DAI (solo durante la modalità di liquidazione), che a loro volta possono essere scambiati con tutti i token detenuti come garanzia!"

Il bug sfruttava l'implementazione del contratto kick di MCD, che consentiva agli utenti di pubblicare aste fasulle, emettere DAI e quindi incassare le garanzie.

Wouter Kampmann, responsabile dell'ingegneria di MakerDAO, ha affermato che Eventi di tracciamento di bug come questo erano all'ordine del giorno.

"È attraverso processi come questi che si riesce a controllare il sistema e ad assicurarsi che sia il più sicuro possibile prima di lanciarlo."

Il bug è stato pubblicato il 28 agosto e corretto il 26 settembre. Lucash-dev lo ha reso pubblico il 1° ottobre.

Immagine dell'hackertramite Shutterstock