Program Bounty MakerDAO Menangkap Bug ‘Kritis’ Sebelum Peluncuran

MakerDAO telah menambal bug “kritis” dalam pemutakhiran Multi-Collateral Dai (MCD) yang belum diluncurkan yang dapat menempatkan lebih dari 10% total jaminan sistem dalam risiko.

Bug ini ditangkap oleh pengguna HackerOne lucash-dev, yang melaporkannya melalui forum HackerOne dan menerima hadiah $ 50.000 karena mengungkap cacat yang berpotensi menghancurkan.

“Sistem lelang kami memungkinkan penyerang potensial untuk membuat lelang palsu, yang pada dasarnya menawarkan sedikit jaminan untuk sejumlah besar DAI,” Chris Smith, seorang insinyur perangkat lunak senior untuk MakerDAO, mengatakan kepada CoinDesk. “Sistem akan mempercayai angka itu dan menggunakannya sebagai kredit terhadap jaminan dalam sistem, yang memungkinkan hacker untuk pada dasarnya mengambil jaminan lain dari sistem.”

Bug tersebut dapat menghancurkan MCD yang direncanakan oleh MakerDAO. Lucash-dev mengatakan dalam laporannya bahwa “memungkinkan penyerang untuk mencuri SEMUA jaminan yang disimpan dalam sistem MCD selama fase likuidasi – mungkin dalam satu transaksi.”

Lucash-dev memberi tahu:

“Itu akan menjadi bencana jika itu terjadi di lingkungan yang hidup.”

Tetapi baik bug maupun host upgrade MCD tidak pernah ditayangkan – itu ditangkap selama fase pengujian, sebelum pengguna memiliki akses ke sistem.

Baik insinyur lucash-dev dan MakerDAO mengatakan kepada CoinDesk bahwa tidak ada dana pengguna yang berisiko.

Di bawah MCD baru, pengguna akan dapat menggunakan cryptocurrency selain ETH sebagai jaminan untuk mengeluarkan Dai baru. Nilai dari “posisi hutang yang dijamin” ini harus sesuai dengan Dai yang beredar karena Dai adalah mata uang yang representatif – mirip dengan dolar AS ketika didukung oleh emas. Pengguna tertentu dapat memicu mode likuidasi untuk menyeimbangkan sistem.

Lucash-dev mengatakan bahwa sistem memiliki kesalahan:

“Kontrak DAI Multi-jaminan baru dapat memasuki ‘mode likuidasi’ – itu berarti bahwa setiap orang yang memiliki DAI hanya akan mengumpulkan token agunan yang sesuai dengan saham DAI mereka. Bug memungkinkan penyerang untuk menipu sistem agar memberi mereka sejumlah DAI (hanya selama mode likuidasi), yang pada gilirannya dapat ditukar dengan semua token yang dimiliki sebagai jaminan! “

Bug mengeksploitasi implementasi kontrak tendangan MCD yang memungkinkan pengguna untuk mengirim lelang palsu, mengeluarkan DAI, dan kemudian menguangkan agunan.

Wouter Kampmann, kepala teknik untuk MakerDAO, mengatakan bahwa acara pelacakan bug seperti ini adalah rutin.

“Ini melalui proses seperti ini yang Anda dapatkan melalui sistem dan memastikan bahwa itu benar-benar seaman mungkin sebelum Anda meluncurkannya.”

Bug ini diposting pada 28 Agustus dan ditambal pada 26 September. Lucash-dev mengungkapkannya kepada publik pada 1 Oktober.


[source]
Advertisement

Mungkin Anda juga menyukai

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *