拯救10%的資產安全，MakerDAO修復多抵押品系統重要漏洞_LUCA

MakerDAO已經修補了其尚未啟動的多抵押品Dai(MCD)升級中的一個重要漏洞，該漏洞可能會使系統超過10%的抵押品置于風險之中。

這個漏洞是HackerOne用戶lucash-dev發現的，他通過HackerOne論壇報告了這個漏洞，并因為發現這個殺傷力極強的漏洞獲得了5萬美元的獎金。

Balancer提議\"許可套利\"以拯救Inverse Finance被凍結的加密貨幣:金色財經報道，DeFi協議骨干正在協調，以拯救在2023年最大黑客攻擊中被凍結的約30萬美元的加密貨幣。該加密貨幣的所有者Inverse Finance擔心，一旦6月8日解凍，套利者正準備攫取這些加密貨幣。

根據Balancer管理部門的一個論壇帖子，周二概述的一個計劃將看到自動做市商Balancer對其 \"bb-e-USD \"池執行 \"許可套利\"，\"在其他人能夠得到它之前\"。3月中旬，當借貸平臺Euler Finance向黑客損失2億美元時，Balancer緊急凍結了這個資金池（后來黑客歸還了資金）。

目前正在討論中，該計劃需要得到Balancer社區成員的批準，因為DeFi協議將不得不修改其機制。組織者計劃在套利完成后對回收的代幣的分配進行第二次投票。[2023/5/17 15:07:26]

MakerDAO高級軟件工程師ChrisSmith表示：

萬卉：YFII“二姨夫”拯救了DeFi農民:Primitive Ventures創始合伙人萬卉（Dovey Wan）在微博表示，一個新的流動性挖礦項目chick被@幣圈二姨夫合約審計團隊發現有后門。而且是非常惡意的把合約定義“public” 偽裝成“pub1ic” 這樣讓別人一眼看上去是公共函數（但是實際不是）所以可以隨時把合約的錢轉走跑路…… 各種流動性挖礦的風險實在太高，特別是匿名團隊。

昨天直播忘記說現在二姨夫的社區人員組成和分工，光是合約審計的科學家小伙伴都有20位了。對所有備選挖礦項目的選擇，審計和挖礦策略，才是二姨夫最大的競爭力。這個是一個突然號稱自己全面轉型DeFi的團隊無法積累的人才實力，連孫哥都上線翻車了不是。

據此前報道，YFII社區核心開發者表示，流動性挖礦項目chick.finance合約存在致命風險，請避免參與。YFII社區提醒廣大“農民”，參與流動性挖礦項目務必注意風險，本金安全第一。[2020/8/24]

“我們的拍賣系統允許潛在的攻擊者創建一個虛假的拍賣，簡單來說提供少量抵押品就可以獲得大量的DAI。系統會相信這個數字，并將其用作系統中抵押品的信用，允許黑客從系統中拿走其他抵押品。”

風險投資家Tim Draper：當萬物復蘇時，拯救世界的將是比特幣:隨著冠狀病爆發，市場持續低迷，加密貨幣仍未能作為對沖這種混亂狀況的避險工具。但是，風險投資家Tim Draper堅信，當萬物復蘇時，拯救世界的將是比特幣，而不是銀行和政府。據悉，Tim Draper是Skype、Tesla、SpaceX和其他初創公司的早期投資者，這些公司最終改變了世界。在最近的采訪中，他還描述了比特幣如何改變保險業。他稱，我可以用精算師人工智能(AI)創辦一家保險公司，以確定欺詐行為，并使用比特幣簽訂智能合約，然后把這些都放到區塊鏈上。（UToday）[2020/3/17]

這個漏洞可能會破壞MakerDAO計劃中的MCD。Lucash-dev在他的報告中稱，其“允許攻擊者在清算階段竊取MCD系統中存儲的所有抵押品——可能只需要一筆交易。”

Lucash-dev說：

“如果這發生在正式的環境中，那將是災難性的。”

幸好這次MCD升級并未上線主網——它是在測試階段被發現的，用戶還不能訪問系統。

lucash-dev和MakerDAO的工程師都表示，沒有用戶資金存在風險。

根據新的MCD升級，用戶將能夠用以太坊以外的加密貨幣作為抵押，發行新的Dai。這些“債務抵押債券持倉”的價值必須與流通中的Dai相匹配，因為Dai是一種代表性貨幣——就像美元以黃金為支撐時的情況一樣。特定用戶可以觸發清算模式來平衡系統。

Lucash-dev說，該系統有一個錯誤：

“新的多抵押品DAI合約可以進入‘清算模式’——這意味著所有DAI持有者將只持有與他們質押的DAI份額相對應的抵押品。該漏洞允許攻擊者欺騙系統給他們任意數量的代幣，這些代幣可以通過作為抵押品的所有代幣進行交易！”

該漏洞利用了MCD的kick合約部署，允許用戶發布虛假拍賣、發行DAI，然后兌現抵押品。

MakerDAO的工程主管WouterKampmann說，像這樣的漏洞跟蹤事件是很常見的。

“通過像這樣的過程，可以檢查系統，確保它在啟動之前是絕對安全的。”

該漏洞發布于8月28日，并于9月26日修復。Lucash-dev于10月1日向公開披露了這一消息。

Tags：NCEANCDAILUCAPRINCESS幣tarzfinancialYFDai FinanceALUCARD幣

FIL