Hackerone用户通过MakerDAO悬赏计划发现了关键漏洞

在以太坊上运行的去中心化组织MakerDAO,已经修复了一个严重的错误,该错误可能导致所有Dai用户完全丧失资金。

10月1日,HackerOne用户Lucash Dev披露了一份报告,揭示了MakerDAO计划的Multi Collateral Dai(MCD)升级中的一个严重错误。Lucash Dev说,该漏洞可能使攻击者在一次交易中就可能窃取MCD系统中存储的所有抵押品。

该错误是在MCD升级版测试阶段和任何用户访问系统之前捕获的。

该报告显示,由于MakerDAO智能合约中完全缺乏访问控制,攻击是可能的。该报告显示:flip.kick方法缺乏验证,攻击者可以使用虚假的出价创建拍卖。由于最终合约信任该价值,因此可以利用该价值在清算期间发行任意数量的免费Dai。然后可以立即使用Dai来获取最终合约中存储的所有抵押品。

Lucash Dev通过HackerOne论坛报告了这一安全漏洞,并从MakerDAO的赏金计划中获得了50,000美元的赏金,这是该计划中的第一个关键发现。

Leave a Reply

Your email address will not be published. Required fields are marked *

shares