DAI:拯救10%的資產安全，MakerDAO修復多抵押品系統重要漏洞

MakerDAO已經修補了其尚未啟動的多抵押品Dai(MCD)升級中的一個重要漏洞，該漏洞可能會使系統超過10%的抵押品置于風險之中。

這個漏洞是HackerOne用戶lucash-dev發現的，他通過HackerOne論壇報告了這個漏洞，并因為發現這個殺傷力極強的漏洞獲得了5萬美元的獎金。

約翰·列農兒子關注狗狗幣創始人推特賬戶，曾稱“只有比特幣可以拯救我們”:4月30日消息，搖滾樂隊“披頭士”成員約翰·列儂兒子肖恩·列農關注并訂閱了狗狗幣創始人Billy Markus的推特賬戶，肖恩·列儂從2020年開始支持比特幣，曾稱“只有比特幣可以拯救我們”，不過他從未公開說明自己是否擁有任何加密貨幣。（U.today）[2023/4/30 14:35:44]

MakerDAO高級軟件工程師ChrisSmith表示：

Asproex（阿波羅）首期月球拯救計劃順利結束累計交易額1.6億USDT:12月12日，Asproex（阿波羅）月球拯救計劃順利結束，此次活動總共持續15天時間，報名艦隊22支，總參與人數2300余人，累計交易額約為1.6億USDT。經過激烈角逐，本次“月球拯救計劃”前三名分別為第一名：姜子牙艦隊，累計交易額為27584532USDT；第二名：曼達洛人艦隊，累計交易額為26752148USDT；第三名為蘭陵精英艦隊，交易額為25786319USDT。

Asproex（阿波羅）作為一家離岸銀行控股持牌交易平臺，涵蓋CTO(Corporate Token Offering)企業通證上市、合約跟單、ETT指數通證、數字礦業、數字銀行板塊并持有5國合法牌照，致力于為全球中小微企業提供數字化上市一站式服務。[2020/12/13 15:03:08]

“我們的拍賣系統允許潛在的攻擊者創建一個虛假的拍賣，簡單來說提供少量抵押品就可以獲得大量的DAI。系統會相信這個數字，并將其用作系統中抵押品的信用，允許黑客從系統中拿走其他抵押品。”

Gate.io 參與拯救YAM項目投票:據YAM官方說明，YAM調倉機制出現bug，需在8月13日（今天）下午15:00前獲得投票幫助從而通過提案，修復調倉機制問題。Gate.io決定將為YAM進行投票，同時號召在錢包中持有YAM的用戶在保證安全的情況下通過YAM官方網址進行投票，拯救YAM項目。

目前，投票時間已不足三小時。投票后需要鎖定約3天時間不能提現（不影響交易），官方Twitter表示后續將考慮給予投票人獎勵，Gate.io將跟進獎勵和補償措施。Gate.io平臺用戶如果不想參與此次投票，請務必于2020年8月13日下午14:00 UTC+8之前提交工單告知平臺。[2020/8/13]

這個漏洞可能會破壞MakerDAO計劃中的MCD。Lucash-dev在他的報告中稱，其“允許攻擊者在清算階段竊取MCD系統中存儲的所有抵押品——可能只需要一筆交易。”

Lucash-dev說：

“如果這發生在正式的環境中，那將是災難性的。”

幸好這次MCD升級并未上線主網——它是在測試階段被發現的，用戶還不能訪問系統。

lucash-dev和MakerDAO的工程師都表示，沒有用戶資金存在風險。

根據新的MCD升級，用戶將能夠用以太坊以外的加密貨幣作為抵押，發行新的Dai。這些“債務抵押債券持倉”的價值必須與流通中的Dai相匹配，因為Dai是一種代表性貨幣——就像美元以黃金為支撐時的情況一樣。特定用戶可以觸發清算模式來平衡系統。

Lucash-dev說，該系統有一個錯誤：

“新的多抵押品DAI合約可以進入‘清算模式’——這意味著所有DAI持有者將只持有與他們質押的DAI份額相對應的抵押品。該漏洞允許攻擊者欺騙系統給他們任意數量的代幣，這些代幣可以通過作為抵押品的所有代幣進行交易！”

該漏洞利用了MCD的kick合約部署，允許用戶發布虛假拍賣、發行DAI，然后兌現抵押品。

MakerDAO的工程主管WouterKampmann說，像這樣的漏洞跟蹤事件是很常見的。

“通過像這樣的過程，可以檢查系統，確保它在啟動之前是絕對安全的。”

該漏洞發布于8月28日，并于9月26日修復。Lucash-dev于10月1日向公開披露了這一消息。

Tags：DAIYAMUCASHMCDDaily Crypto GiveawaysYAM幣YOUCashMCD幣

歐易okex官網