BTC MINER
Publi

 

Una falla de seguridad descubierta en el próximo sistema Dai Multi-Colateral que está desarrollando la organización de DeFi MakerDAO podría haber resultado en la pérdida de activos que respaldan el token digital.

Publicidad

Si los piratas informáticos lo explotan, la vulnerabilidad podría haber resultado en una sola transacción que elimine todos los activos utilizados como garantía para respaldar el dai stablecoin si no se hubiera descubierto en el lanzamiento.

La falla de seguridad fue descubierta durante un programa de prueba de recompensas de errores antes del lanzamiento de Multi-Colateral Dai (MCD) por un ingeniero en HackerOne. El resumen del informe presentado reveló que los atacantes podrían explotar la falta de control de acceso en un contrato inteligente de MakerDAO utilizado para subastar garantías cuando se liquidan los préstamos. El informe decía:

El contrato «flip» permite que el sistema MCD subaste garantías a cambio de DAI. La falta de validación en el método «flip.kick» permite a un atacante crear una subasta con un valor de oferta falso. Dado que el contrato de «finalización» confía en ese valor, puede explotarse para emitir cualquier cantidad de DAI gratis durante la liquidación. Ese DAI se puede usar inmediatamente para obtener todas las garantías almacenadas en el contrato «final».

Tal explotación de la falla de seguridad probablemente habría visto el robo de todas las garantías almacenadas y, sin duda, habría provocado la desaparición rápida de todo el proyecto MakerDAO. Un error costoso considerando, según el informe del ingeniero, que el costo de realizar el ataque es casi cero.

Prueba de recompensa de errores

Pero la mayoría de estas fallas se descubren mucho antes de que un proyecto entre en funcionamiento, y la falla de seguridad descubierta en el sistema MCD subraya la importancia de las pruebas de recompensa de errores, donde un proyecto de desarrollo de software se abre al público en la fase de prueba para que tales fallas puedan ser descubiertas. por ingenieros de software independientes y probadores.

De hecho, el Proyecto Libra, el desarrollo de criptomonedas liderado por Facebook, anunció en agosto que lanzaría un programa público de recompensas por errores en asociación con HackerOne.

El ingeniero de HackerOne que descubrió la vulnerabilidad MCD recibió una recompensa de $ 50,000 por el descubrimiento. Chris Smith, ingeniero de software senior en MakerDAO, revisó el informe HackerOne y concluyó:

Hemos evaluado esto y estamos de acuerdo en que dejar la función «flip.kick» públicamente invocable abre un vector de ataque que podría permitir una pérdida colateral significativa.

Smith dijo que MakerDAO había implementado una solución para el error.

Lo que podría haberse perdido

Según MakerScan, que monitorea los niveles de garantías y deudas en el ecosistema dai, actualmente hay 40,673.89 en éter, actualmente la única fuente de garantías, encerrado en el sistema. Actualmente vale más de $ 7 millones.

El sistema Dai Multi-Colateral está trabajando para agregar otras fuentes de colateral.

 

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.