Das MakerDAO-Kopfgeldprogramm hat vor dem Start einen „kritischen“ Fehler entdeckt

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining


MakerDAO hat einen "kritischen" Fehler in seinem noch ausstehenden Multi-Collateral Dai (MCD) -Upgrade behoben, der mehr als 10% der Gesamtsicherheit des Systems gefährdet hätte.

Der Fehler wurde vom HackerOne-Benutzer lucash-dev abgefangen, der ihn über das HackerOne-Forum gemeldet und eine Prämie von 50.000 US-Dollar für die Aufdeckung des potenziell verheerenden Fehlers erhalten hat.

"Unser Auktionssystem ermöglichte es dem potenziellen Angreifer, eine gefälschte Auktion zu erstellen, bei der für eine große Menge von DAI im Grunde genommen nur sehr wenig Sicherheiten geboten wurden", sagte Chris Smith, Senior Software Engineer bei MakerDAO gegenüber CoinDesk. "Das System würde dieser Zahl vertrauen und sie als Gutschrift für Sicherheiten im System verwenden, sodass der Hacker diese anderen Sicherheiten im Grunde genommen aus dem System nehmen kann."

Der Fehler könnte die geplante MCD von MakerDAO verwüstet haben. Lucash-dev sagte in seinem Bericht, dass es "einem Angreifer erlaubt, ALLE im MCD-System gespeicherten Sicherheiten während der Liquidationsphase zu stehlen – möglicherweise innerhalb einer einzigen Transaktion."

Lucash-dev sagte gegenüber CoinDesk:

"Das wäre katastrophal, wenn es jemals in einer Live-Umgebung passieren würde."

Weder der Fehler noch der MCD-Upgrade-Host sind jemals live gegangen – er wurde während der Testphase abgefangen, bevor Benutzer Zugriff auf das System hatten.

Sowohl Lucash-Dev- als auch MakerDAO-Ingenieure sagten CoinDesk, dass kein Benutzergeld jemals einem Risiko ausgesetzt war.

Im Rahmen der neuen MCD können Benutzer andere Kryptowährungen als die ETH als Sicherheit für die Ausgabe eines neuen Dai einsetzen. Der Wert dieser „besicherten Schuldenpositionen“ muss dem im Umlauf befindlichen Dai entsprechen, da Dai eine repräsentative Währung ist – ähnlich wie der US-Dollar, als er mit Gold unterlegt war. Bestimmte Benutzer können einen Liquidationsmodus auslösen, um das System auszugleichen.

Lucash-dev teilte CoinDesk mit, dass das System einen Fehler hatte:

„Die neuen Multi-Collateral-DAI-Kontrakte können in einen Liquidationsmodus übergehen. Dies bedeutet, dass jeder, der Inhaber von DAI ist, nur die Sicherheiten einsammelt, die seinem DAI-Anteil entsprechen. Der Fehler ermöglicht es einem Angreifer, das System zu täuschen und ihm eine beliebige Anzahl von DAI (nur während des Liquidationsmodus) zuzuweisen, die wiederum von allen als Sicherheit gehaltenen Token ausgetauscht werden können! “

Der Fehler nutzte die Kick-Contract-Implementierung von MCD, die es Benutzern ermöglichte, gefälschte Auktionen zu veröffentlichen, DAI auszustellen und dann Sicherheiten auszuzahlen.

Wouter Kampmann, Leiter Engineering bei MakerDAO, sagte, dass solche Bug-Tracking-Ereignisse Routine seien.

"Durch Prozesse wie diese gelangen Sie durch das System und stellen sicher, dass es absolut sicher ist, bevor Sie es starten."

Der Bug wurde am 28. August veröffentlicht und bis zum 26. September gepatcht. Lucash-dev hat ihn am 1. Oktober der Öffentlichkeit vorgestellt.

Hacker-Image über Shutterstock

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close