拯救10%的資產安全!MakerDAO修復多抵押品系統重要漏洞
Wendy/張詠晴編譯
2019-10-05 10:45

 

MakerDAO已經修補了其尚未啟動的多抵押品Dai (MCD)升級中的一個重要漏洞,該漏洞可能會使系統超過10%的抵押品置於風險之中。

 

這個漏洞是HackerOne用戶lucash-dev發現的,他透過HackerOne論壇報告了這個漏洞,並因為發現這個殺傷力極強的漏洞,獲得了5萬美元的獎金。

 

MakerDAO高級軟體工程師Chris Smith表示:「我們的拍賣系統,允許潛在的攻擊者創建一個虛假的拍賣,簡單來說提供少量抵押品就可以獲得大量的DAI。系統會相信這個數字,並將其用作系統中抵押品的信用,允許駭客從系統中拿走其他抵押品。」

 

這個漏洞可能會破壞MakerDAO計劃中的MCD。Lucash-dev在他的報告中稱,其「允許攻擊者在清算階段,竊取MCD系統中儲存的所有抵押品——可能只需要一筆交易。」

 

Lucash-dev說:「如果這發生在正式的環境中,那將是災難性的。」

 

幸好這次MCD升級並未上線主網——它是在測試階段被發現的,用戶還不能訪問系統。

 

lucash-dev和MakerDAO的工程師都表示,沒有用戶資金存在風險。

 

根據新的MCD升級,用戶將能夠用以太坊以外的加密貨幣作為抵押,發行新的Dai。這些「債務抵押債券持倉」的價值必須與流通中的Dai相匹配,因為Dai是一種代表性貨幣——就像美元以黃金為支撐時的情況一樣。特定用戶可以觸發清算模式來平衡系統。

 

Lucash-dev說,該系統有一個錯誤:「新的多抵押品DAI合約可以進入『清算模式』——這意味著所有DAI持有者將只持有與他們質押的DAI比例相對應的抵押品。該漏洞允許攻擊者欺騙系統給他們任意數量的代幣(僅在清算模式下),這些代幣可以透過作為抵押品的所有代幣進行交易!」

 

該漏洞利用了MCD的kick合約部署,允許用戶發布虛假拍賣、發行DAI,然後兌現抵押品。

 

MakerDAO的工程主管Wouter Kampmann說,像這樣的漏洞跟蹤事件是很常見的。

 

「透過像這樣的過程,可以檢查系統,確保它在啟動之前是絕對安全的。」

 

該漏洞發布於8月28日,並於9月26日修復。Lucash-dev於10月1日向公開披露了這一消息。

 

本文為巴比特資訊授權刊登,原文標題為「拯救10%的資產安全,MakerDAO修復多抵押品系統重要漏洞