Програма баунті MakerDAO виявляє «критичну» помилку перед запуском

MakerDAO виправив «критичну» помилку в своєму ще не запущеному оновленні Multi-Collateral DAI (MCD), яке могло поставити під загрозу понад 10% загальної застави системи.

Помилка була виявлена ​​користувачем HackerOne lucash-dev, ВООЗ повідомив про це через HackerOne форум і отримав винагороду в розмірі 50 000 доларів США за виявлення потенційно руйнівної вади.

«Наша система аукціону дозволила потенційному зловмиснику створити фальшивий аукціон, пропонуючи в основному дуже невелику заставу за велику кількість DAI», — сказав CoinDesk Кріс Сміт, старший інженер програмного забезпечення MakerDAO. «Система довіряла б цьому номеру та використовувала його як кредит під заставу в системі, дозволяючи хакеру фактично забрати іншу заставу з системи».

Помилка могла зруйнувати запланований MCD MakerDAO. У своєму звіті Lucash-dev зазначив, що це «дозволяє зловмиснику викрасти ВСІ застави, що зберігаються в системі MCD, під час фази ліквідації – можливо, в рамках однієї транзакції».

Lucash-dev сказав CoinDesk:

«Це було б катастрофою, якби це трапилося в живому середовищі».

Але ні помилка, ні хост оновлення MCD так і не були опубліковані – їх було виявлено на етапі тестування, перш ніж будь-які користувачі отримали доступ до системи.

Як розробники lucash-dev, так і інженери MakerDAO повідомили CoinDesk , що кошти користувачів ніколи не були під загрозою.

Згідно з новим MCD, користувачі зможуть робити ставки на інші криптовалюти, крім ETH, як заставу для випуску нових DAI. Вартість цих «боргових позицій під заставу» має відповідати DAI в обігу, оскільки DAI є репрезентативною валютою – подібно до долара США, коли він був забезпечений золотом. Деякі користувачі можуть запустити режим ліквідації, щоб збалансувати систему.

Lucash-dev повідомив CoinDesk , що в системі сталася помилка:

«Нові багатозаставні DAI -контракти можуть увійти в «режим ліквідації» — це означає, що кожен, хто володіє DAI , просто збиратиме токени застави, що відповідають їхній частці DAI . Помилка дозволяє зловмиснику обдурити систему, щоб надати йому будь-яку кількість DAI (тільки під час режиму ліквідації), які, у свою чергу, можуть бути обмінені на всі токени, що зберігаються як застава!»

Помилка використовувала реалізацію контракту MCD, яка дозволяла користувачам публікувати фальшиві аукціони, випускати DAI, а потім виплачувати заставу.

Воутер Кампманн, керівник інженерного відділу MakerDAO, сказав, що такі Заходи відстеження помилок є звичайною справою.

«Завдяки подібним процесам ви проходите через систему та переконаєтеся, що вона максимально безпечна, перш ніж запускати її».

Помилка була опублікована 28 серпня та виправлена ​​до 26 вересня. Lucash-dev оприлюднив її громадськості 1 жовтня.

Зображення хакера через Shutterstock