DAI:拯救10%的資產安全，MakerDAO修復多抵押品系統重要漏洞_CASH

MakerDAO已經修補了其尚未啟動的多抵押品Dai(MCD)升級中的一個重要漏洞，該漏洞可能會使系統超過10%的抵押品置于風險之中。

這個漏洞是HackerOne用戶lucash-dev發現的，他通過HackerOne論壇報告了這個漏洞，并因為發現這個殺傷力極強的漏洞獲得了5萬美元的獎金。

Larry Cermak：有傳言稱Jump、Alameda等公司又提供了20億美元來拯救 UST:金色財經報道，The Block研究總監Larry Cermak發布推特稱，有傳言說Jump、Alameda等公司又提供了20億美元來拯救 UST。無論這個傳言是真是假，他們的傳播都是非常有意義的。這里最大的問題是，即使他們能通過某種奇跡把它弄到1美元，信任也是不可逆轉的了。我個人認為現在拯救它的唯一方法是完全（或可能非常接近完全）抵押。否則我看不到它再次被使用。[2022/5/10 3:02:58]

MakerDAO高級軟件工程師ChrisSmith表示：

SushiSwap CTO：白帽出手拯救BitDAO在MISO荷蘭拍資金池的3.5億美元資產:區塊鏈投資機構Paradigm研究合伙人、白帽黑客samczsun撰文披露BitDAO昨日在SushiSwap MISO平臺進行荷蘭式拍賣的智能合約存在安全漏洞，多名白帽黑客聯手從眾籌資金池中拯救回10.9萬枚ETH（約合3.5億美元）的經過。SushiSwap首席技術官Joseph Delong隨后發布漏洞分析，證實samczsun所報告的漏洞及白帽拯救行動，MISO平臺上ETH眾籌池中價值3.5億美元的ETH現已安全。

samczsun稱，這可能是最大的白帽拯救行動。此次白帽拯救行動導致BitDAO在MISO平臺進行的荷蘭拍中的ETH資金池提前結束，參與者可以提前領取BIT代幣并在SushiSwap上進行交易。Paradigm研究團隊成員、Immunefi團隊成員和SushiSwap開發團隊參與本次行動。[2021/8/18 22:21:05]

“我們的拍賣系統允許潛在的攻擊者創建一個虛假的拍賣，簡單來說提供少量抵押品就可以獲得大量的DAI。系統會相信這個數字，并將其用作系統中抵押品的信用，允許黑客從系統中拿走其他抵押品。”

聲音 | Calvin Ayre：拯救比特幣礦業的唯一辦法就是擴容:CoinGeek創始人、BCH SV的支持者Calvin Ayre發推文稱：“拯救比特幣挖礦產業的唯一辦法就是擴容，而只有BCHSV能做到這一點。我因為此遭受到了ABC的攻擊。如果你是挖礦者，你該表明立場了。”[2018/11/28]

這個漏洞可能會破壞MakerDAO計劃中的MCD。Lucash-dev在他的報告中稱，其“允許攻擊者在清算階段竊取MCD系統中存儲的所有抵押品——可能只需要一筆交易。”

Lucash-dev說：

“如果這發生在正式的環境中，那將是災難性的。”

幸好這次MCD升級并未上線主網——它是在測試階段被發現的，用戶還不能訪問系統。

lucash-dev和MakerDAO的工程師都表示，沒有用戶資金存在風險。

根據新的MCD升級，用戶將能夠用以太坊以外的加密貨幣作為抵押，發行新的Dai。這些“債務抵押債券持倉”的價值必須與流通中的Dai相匹配，因為Dai是一種代表性貨幣——就像美元以黃金為支撐時的情況一樣。特定用戶可以觸發清算模式來平衡系統。

Lucash-dev說，該系統有一個錯誤：

“新的多抵押品DAI合約可以進入‘清算模式’——這意味著所有DAI持有者將只持有與他們質押的DAI份額相對應的抵押品。該漏洞允許攻擊者欺騙系統給他們任意數量的代幣，這些代幣可以通過作為抵押品的所有代幣進行交易！”

該漏洞利用了MCD的kick合約部署，允許用戶發布虛假拍賣、發行DAI，然后兌現抵押品。

MakerDAO的工程主管WouterKampmann說，像這樣的漏洞跟蹤事件是很常見的。

“通過像這樣的過程，可以檢查系統，確保它在啟動之前是絕對安全的。”

該漏洞發布于8月28日，并于9月26日修復。Lucash-dev于10月1日向公開披露了這一消息。

Tags：DAIDAOMCDCASHxDai ChainHDAO價格MCD幣SHDCash

Pol幣