Programa de recompensas MakerDAO detecta bug "crítico" antes do lançamento

A MakerDAO corrigiu um bug "crítico" em sua atualização Multi-Collateral DAI (MCD), ainda não lançada, que poderia ter colocado mais de 10% do total de garantias do sistema em risco.

O bug foi detectado pelo usuário do HackerOnelucash-dev, Quem reportou isso através do HackerOnefórum e recebeu uma recompensa de US$ 50.000 por descobrir a falha potencialmente devastadora.

"Nosso sistema de leilão permitiu que o invasor em potencial criasse um leilão falso, basicamente oferecendo muito pouca garantia por uma grande quantidade de DAI", disse Chris Smith, engenheiro de software sênior da MakerDAO, ao CoinDesk. "O sistema confiaria nesse número e o usaria como crédito contra a garantia no sistema, permitindo que o hacker basicamente tirasse essa outra garantia do sistema."

O bug poderia ter devastado o MCD planejado da MakerDAO. Lucash-dev disse em seu relatório que ele "permite que um invasor roube TODAS as garantias armazenadas no sistema MCD durante a fase de liquidação – possivelmente dentro de uma única transação."

Lucash-dev disse ao CoinDesk:

"Isso seria desastroso se acontecesse em um ambiente real."

Mas nem o bug nem o host de atualização do MCD foram ativados – eles foram detectados durante a fase de testes, antes que qualquer usuário tivesse acesso ao sistema.

Os engenheiros da lucash-dev e da MakerDAO disseram ao CoinDesk que nenhum fundo de usuário foi colocado em risco.

Sob o novo MCD, os usuários poderão apostar criptomoedas diferentes de ETH como garantia para emitir novos DAI. O valor dessas "posições de dívida colateralizadas" tem que corresponder ao DAI em circulação, pois o DAI é uma moeda representativa – muito parecida com o dólar americano quando era lastreado em ouro. Certos usuários podem acionar um modo de liquidação para equilibrar o sistema.

Lucash-dev disse ao CoinDesk que o sistema tinha uma falha:

"Os novos contratos DAI multicolateral podem entrar em um 'modo de liquidação' – isso significa que todos que possuem DAI irão apenas coletar os tokens colaterais correspondentes à sua participação em DAI . O bug permite que um invasor engane o sistema para dar a eles qualquer número de DAI (apenas durante o modo de liquidação), que pode, por sua vez, ser trocado por todos os tokens mantidos como garantia!"

O bug explorava a implementação do contrato de kick do MCD, que permitia aos usuários postar leilões falsos, emitir DAI e então sacar a garantia.

Wouter Kampmann, chefe de engenharia da MakerDAO, disse que Eventos de rastreamento de bugs como esse eram rotineiros.

"É por meio de processos como esses que você passa pelo sistema e garante que ele esteja o mais seguro possível antes de iniciá-lo."

O bug foi postado em 28 de agosto e corrigido em 26 de setembro. Lucash-dev o divulgou ao público em 1º de outubro.

Imagem de hackervia Shutterstock