MakerDAO устранили баг, позволявший изъять всё залоговое обеспечение стейблкоина Dai

Децентрализованная автономная организация MakerDAO раскрыла информацию о критической уязвимости, которая могла позволить злоумышленникам похитить все средства, использующиеся для обеспечения её стейблкоина Dai в ходе одной транзакции. Детали уязвимости были опубликованы на сайте HackerOne.

«Стоимость исполнения этой атаки почти нулевая», – написал исследователь, обнаруживший проблему.

Уязвимость возникла из-за полного отсутствия контроля над смарт-контрактом MakerDAO, который позволяет выставлять на аукцион залоговое обеспечение Dai в случае его ликвидации.

«Отсутствие валидации в методе flip.kick позволяет организатору атаки создать аукцион с ложной ценой, – говорится в публикации. – Поскольку конечный контракт доверяет этому значению, эта особенность может использоваться для выпуска любого количества бесплатных Dai во время ликвидации. Затем эти Dai можно немедленно использовать для выкупа всего залогового обеспечения, находящегося на конечном контракте».

Согласно документации MakerDAO, ликвидация используется в том случае, когда считается, что сохранять залог в пользу выпущенных Dai небезопасно. Таким образом гарантируется привязка курса Dai к доллару США.

Изъятие залогового обеспечения привело бы к мгновенному краху Dai. По данным MakerScan, в настоящее время система MakerDAO обеспечена 40 673,89 ETH или более чем $7 млн.

Изначально сообщение о баге поступило 29 августа. MakerDAO, со своей стороны, выплатили исследователю награду в $50 000.

Добавить комментарий