MakerDAO已经修补了其尚未启动的多抵押品Dai(MCD)升级中的一个重要漏洞,该漏洞可能会使系统超过10%的抵押品置于风险之中。
万卉:YFII“二姨夫”拯救了DeFi农民:Primitive Ventures创始合伙人万卉(Dovey Wan)在微博表示,一个新的流动性挖矿项目chick被@币圈二姨夫合约审计团队发现有后门。而且是非常恶意的把合约定义“public” 伪装成“pub1ic” 这样让别人一眼看上去是公共函数(但是实际不是)所以可以随时把合约的钱转走跑路…… 各种流动性挖矿的风险实在太高,特别是匿名团队。
昨天直播忘记说现在二姨夫的社区人员组成和分工,光是合约审计的科学家小伙伴都有20位了。对所有备选挖矿项目的选择,审计和挖矿策略,才是二姨夫最大的竞争力。这个是一个突然号称自己全面转型DeFi的团队无法积累的人才实力,连孙哥都上线翻车了不是。
据此前报道,YFII社区核心开发者表示,流动性挖矿项目chick.finance合约存在致命风险,请避免参与。YFII社区提醒广大“农民”,参与流动性挖矿项目务必注意风险,本金安全第一。[2020/8/24]
这个漏洞是HackerOne用户lucash-dev发现的,他通过HackerOne论坛报告了这个漏洞,并因为发现这个杀伤力极强的漏洞获得了5万美元的奖金。
The Crypto Lark主持人:比特币是最自由的市场之一,因此没有人能拯救加密市场:YouTube频道The Crypto Lark主持人Lark Davis在最新一期节目中表示,比特币是世界上最自由的市场之一,因此没有人能介入并拯救加密市场。即便它跌到零,那也是市场的决定。美联储不会介入说“让我们支撑起比特币市场吧”,自由市场决定了这些资产的价值。(Dailyhodl)[2020/3/17]
MakerDAO高级软件工程师ChrisSmith表示:
声音 | Calvin Ayre:拯救比特币矿业的唯一办法就是扩容:CoinGeek创始人、BCH SV的支持者Calvin Ayre发推文称:“拯救比特币挖矿产业的唯一办法就是扩容,而只有BCHSV能做到这一点。我因为此遭受到了ABC的攻击。如果你是挖矿者,你该表明立场了。”[2018/11/28]
“我们的拍卖系统允许潜在的攻击者创建一个虚假的拍卖,简单来说提供少量抵押品就可以获得大量的DAI。系统会相信这个数字,并将其用作系统中抵押品的信用,允许黑客从系统中拿走其他抵押品。”
这个漏洞可能会破坏MakerDAO计划中的MCD。Lucash-dev在他的报告中称,其“允许攻击者在清算阶段窃取MCD系统中存储的所有抵押品——可能只需要一笔交易。”
Lucash-dev说:
“如果这发生在正式的环境中,那将是灾难性的。”
幸好这次MCD升级并未上线主网——它是在测试阶段被发现的,用户还不能访问系统。
lucash-dev和MakerDAO的工程师都表示,没有用户资金存在风险。
根据新的MCD升级,用户将能够用以太坊以外的加密货币作为抵押,发行新的Dai。这些“债务抵押债券持仓”的价值必须与流通中的Dai相匹配,因为Dai是一种代表性货币——就像美元以黄金为支撑时的情况一样。特定用户可以触发清算模式来平衡系统。
Lucash-dev说,该系统有一个错误:
“新的多抵押品DAI合约可以进入‘清算模式’——这意味着所有DAI持有者将只持有与他们质押的DAI份额相对应的抵押品。该漏洞允许攻击者系统给他们任意数量的代币,这些代币可以通过作为抵押品的所有代币进行交易!”
该漏洞利用了MCD的kick合约部署,允许用户发布虚假拍卖、发行DAI,然后兑现抵押品。
MakerDAO的工程主管WouterKampmann说,像这样的漏洞跟踪事件是很常见的。
“通过像这样的过程,可以检查系统,确保它在启动之前是绝对安全的。”
该漏洞发布于8月28日,并于9月26日修复。Lucash-dev于10月1日向公开披露了这一消息。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。