El programa de recompensas de MakerDAO detecta un error crítico antes del lanzamiento

MakerDAO ha corregido un error "crítico" en su actualización Multi-Collateral DAI (MCD) aún no lanzada que podría haber puesto en riesgo más del 10% de la garantía total del sistema.

El error fue detectado por el usuario HackerOnelucash-dev, OMS Lo reportó vía HackerOneforo y recibió una recompensa de 50.000 dólares por descubrir la falla potencialmente devastadora.

"Nuestro sistema de subastas permitió al posible atacante crear una subasta falsa, ofreciendo muy poca garantía por una gran cantidad de DAI", declaró Chris Smith, ingeniero de software sénior de MakerDAO, a CoinDesk. "El sistema confiaría en esa cifra y la usaría como crédito contra la garantía existente, lo que permitiría al hacker extraer esa otra garantía del sistema".

El fallo podría haber devastado el MCD planificado de MakerDAO. Lucash-dev afirmó en su informe que «permite a un atacante robar TODAS las garantías almacenadas en el sistema MCD durante la fase de liquidación, posiblemente en una sola transacción».

Lucash-dev le dijo a CoinDesk:

"Eso sería desastroso si alguna vez ocurriera en un entorno real".

Pero ni el error ni el host de actualización de MCD llegaron a funcionar: se detectaron durante la fase de prueba, antes de que los usuarios tuvieran acceso al sistema.

Tanto los ingenieros de lucash-dev como de MakerDAO dijeron a CoinDesk que nunca se pusieron en riesgo los fondos de los usuarios.

Con el nuevo MCD, los usuarios podrán apostar criptomonedas distintas a ETH como garantía para emitir nuevos DAI. El valor de estas "posiciones de deuda colateralizadas" debe coincidir con el DAI en circulación, ya que DAI es una moneda representativa, al igual que el dólar estadounidense cuando estaba respaldado por oro. Algunos usuarios pueden activar un modo de liquidación para equilibrar el sistema.

Lucash-dev le dijo a CoinDesk que el sistema tenía una falla:

Los nuevos contratos multicolaterales de DAI pueden entrar en un 'modo de liquidación', lo que significa que todos los poseedores de DAI solo recibirán los tokens colaterales correspondientes a su participación en DAI . El fallo permite a un atacante engañar al sistema para que les otorgue cualquier cantidad de DAI (solo durante el modo de liquidación), que a su vez pueden intercambiarse por todos los tokens mantenidos como colateral.

El error explotó la implementación del contrato de expulsión de MCD que permitía a los usuarios publicar subastas falsas, emitir DAI y luego retirar la garantía.

Wouter Kampmann, jefe de ingeniería de MakerDAO, dijo que Eventos de seguimiento de errores como este eran rutinarios.

"A través de procesos como estos se puede acceder al sistema y garantizar que sea lo más seguro posible antes de lanzarlo".

El error se publicó el 28 de agosto y se solucionó el 26 de septiembre. Lucash-dev lo reveló al público el 1 de octubre.

Imagen de hackervía Shutterstock