MakerDAO已经修补了其尚未启动的多抵押品Dai(MCD)升级中的一个重要漏洞,该漏洞可能会使系统超过10%的抵押品置于风险之中。
这个漏洞是HackerOne用户lucash-dev发现的,他通过HackerOne论坛报告了这个漏洞,并因为发现这个杀伤力极强的漏洞获得了5万美元的奖金。
MakerDAO高级软件工程师ChrisSmith表示:
“我们的拍卖系统允许潜在的攻击者创建一个虚假的拍卖,简单来说提供少量抵押品就可以获得大量的DAI。系统会相信这个数字,并将其用作系统中抵押品的信用,允许黑客从系统中拿走其他抵押品。”
这个漏洞可能会破坏MakerDAO计划中的MCD。Lucash-dev在他的报告中称,其“允许攻击者在清算阶段窃取MCD系统中存储的所有抵押品——可能只需要一笔交易。”
Lucash-dev说:
“如果这发生在正式的环境中,那将是灾难性的。”
幸好这次MCD升级并未上线主网——它是在测试阶段被发现的,用户还不能访问系统。
lucash-dev和MakerDAO的工程师都表示,没有用户资金存在风险。
根据新的MCD升级,用户将能够用以太坊以外的加密货币作为抵押,发行新的Dai。这些“债务抵押债券持仓”的价值必须与流通中的Dai相匹配,因为Dai是一种代表性货币——就像美元以黄金为支撑时的情况一样。特定用户可以触发清算模式来平衡系统。
Lucash-dev说,该系统有一个错误:
“新的多抵押品DAI合约可以进入‘清算模式’——这意味着所有DAI持有者将只持有与他们质押的DAI份额相对应的抵押品。该漏洞允许攻击者系统给他们任意数量的代币,这些代币可以通过作为抵押品的所有代币进行交易!”
该漏洞利用了MCD的kick合约部署,允许用户发布虚假拍卖、发行DAI,然后兑现抵押品。
MakerDAO的工程主管WouterKampmann说,像这样的漏洞跟踪事件是很常见的。
“通过像这样的过程,可以检查系统,确保它在启动之前是绝对安全的。”
该漏洞发布于8月28日,并于9月26日修复。Lucash-dev于10月1日向公开披露了这一消息。
9月2日,“一则汉堡王接受比特币支付”的消息传遍了币圈。当时,由于比特币受到全球第二大快餐店的“力挺”,不少币圈用户都认为这一事件预示着传统快餐店的巨大影响力可能为加密市场带来亿万用户.
POW挖矿本质就是构造符合要求的区块并进行验证的过程。本期教程将通过介绍比特币区块的结构与其打包,验证过程来解释POW挖矿的逻辑过程.
9月26日,在阿里巴巴集团主办的2019云栖大会·蚂蚁区块链生态峰会现场,中国万向控股有限公司副董事长兼执行董事肖风发表了《DecentralizedEconomy(DeCo):重构商业》的主题.
作者|哈希派分析团队 金色财经合约行情分析 | BTC突破近一年高点,市场或出现结构性变化:据火币BTC永续合约行情显示,截至今日18:00(GMT+8).
自2009年诞生以来,从创世区块的“财政大臣正处于实施第二轮银行紧急援助的边缘”,到成为世界上第八大基础货币,从10000枚比特币购买两个披萨,到成为拥有超过1800亿美元市值的庞然大物.
9月16日,比特币算力和难度齐创新高,据外部消息显示,主要源于过去3个月60多万台新矿机上线。据币印的数据显示,比特币最近一周的平均算力已经超过了另一个重要阈值,达到91.03EH/s.