Программа вознаграждений MakerDAO обнаружила «критическую» ошибку перед запуском

MakerDAO исправила «критическую» ошибку в еще не запущенном обновлении Multi-Collateral DAI (MCD), которая могла поставить под угрозу более 10% от общего залогового обеспечения системы.

Ошибка была обнаружена пользователем HackerOne.lucash-dev, ВОЗ сообщил об этом через HackerOneфорум и получил вознаграждение в размере 50 000 долларов за обнаружение потенциально разрушительной уязвимости.

«Наша аукционная система позволила потенциальному злоумышленнику создать фальшивый аукцион, по сути, предлагая очень мало залога за большую сумму DAI», — рассказал Крис Смит, старший инженер-программист MakerDAO, CoinDesk. «Система доверяла этому числу и использовала его в качестве кредита против залога в системе, позволяя хакеру по сути изымать этот другой залог из системы».

Ошибка могла разрушить запланированный MakerDAO MCD. Lucash-dev сказал в своем отчете, что она «позволяет злоумышленнику украсть ВСЕ залоговые средства, хранящиеся в системе MCD на этапе ликвидации — возможно, в рамках одной транзакции».

Lucash-dev рассказал CoinDesk:

«Это было бы катастрофой, если бы такое произошло в реальной обстановке».

Однако ни ошибка, ни хост обновления MCD так и не были реализованы — они были обнаружены на этапе тестирования, до того, как пользователи получили доступ к системе.

Инженеры lucash-dev и MakerDAO сообщили CoinDesk , что средства пользователей никогда не подвергались риску.

В рамках нового MCD пользователи смогут использовать криптовалюты, отличные от ETH, в качестве залога для выпуска новых DAI. Стоимость этих «обеспеченных долговых позиций» должна соответствовать DAI в обращении, поскольку DAI является репрезентативной валютой — подобно доллару США, когда он был обеспечен золотом. Некоторые пользователи могут запустить режим ликвидации, чтобы сбалансировать систему.

Lucash-dev сообщил CoinDesk , что в системе произошел сбой:

«Новые контракты DAI с множественным обеспечением могут войти в «режим ликвидации» — это означает, что каждый, кто владеет DAI , просто соберет токены обеспечения, соответствующие его доле DAI . Ошибка позволяет злоумышленнику обмануть систему, чтобы выдать ему любое количество DAI (только в режиме ликвидации), которые, в свою очередь, можно обменять на все токены, удерживаемые в качестве обеспечения!»

Ошибка использовала реализацию контракта MCD, которая позволяла пользователям публиковать фиктивные аукционы, выпускать DAI, а затем обналичивать залог.

Воутер Кампманн, руководитель отдела разработки MakerDAO, сказал, что подобные Мероприятия по отслеживанию ошибок являются обычной практикой.

«Именно благодаря таким процессам вы проходите через систему и убеждаетесь в ее максимальной безопасности перед запуском».

Ошибка была опубликована 28 августа и исправлена 26 сентября. Lucash-dev раскрыл ее общественности 1 октября.

Изображение хакерачерез Shutterstock