Le programme de primes MakerDAO détecte un bug « critique » avant son lancement

MakerDAO a corrigé un bug « critique » dans sa mise à niveau Multi-Collateral DAI (MCD) qui n'a pas encore été lancée et qui aurait pu mettre en danger plus de 10 % du total des garanties du système.

Le bug a été détecté par l'utilisateur de HackerOnelucash-dev, OMS signalé via HackerOneforum et a reçu une prime de 50 000 $ pour avoir découvert cette faille potentiellement dévastatrice.

« Notre système d'enchères permettait à un attaquant potentiel de créer une fausse enchère, offrant une garantie très faible pour une grande quantité de DAI», a déclaré à CoinDesk Chris Smith, ingénieur logiciel senior chez MakerDAO. « Le système se fiait à ce nombre et l'utilisait comme crédit contre une garantie, permettant ainsi au pirate de retirer cette autre garantie du système. »

Ce bug aurait pu anéantir le MCD prévu par MakerDAO. Lucash-dev a indiqué dans son rapport qu'il « permet à un attaquant de voler l'intégralité des garanties stockées dans le système MCD pendant la phase de liquidation, éventuellement au cours d'une seule transaction ».

Lucash-dev a déclaré à CoinDesk:

« Ce serait désastreux si cela se produisait un jour dans un environnement réel. »

Mais ni le bug ni l'hôte de mise à niveau MCD n'ont jamais été mis en ligne - ils ont été détectés pendant la phase de test, avant que les utilisateurs n'aient accès au système.

Les ingénieurs de lucash-dev et de MakerDAO ont tous deux déclaré à CoinDesk qu'aucun fonds d'utilisateur n'avait jamais été mis en danger.

Dans le cadre du nouveau MCD, les utilisateurs pourront staker des cryptomonnaies autres que ETH comme garantie pour émettre de nouveaux DAI. La valeur de ces « positions de dette garantie » doit correspondre au DAI en circulation, car le DAI est une monnaie représentative, tout comme l'était le dollar américain lorsqu'il était adossé à l'or. Certains utilisateurs peuvent déclencher un mode de liquidation pour équilibrer le système.

Lucash-dev a déclaré à CoinDesk que le système avait un défaut :

Les nouveaux contrats DAI multi-collatéral peuvent entrer en mode liquidation : cela signifie que tous les détenteurs de DAI collecteront simplement les jetons de garantie correspondant à leur mise en DAI . Ce bug permet à un attaquant de tromper le système pour obtenir n'importe quel nombre de DAI (uniquement en mode liquidation), qui peuvent ensuite être échangés contre tous les jetons détenus en garantie !

Le bug exploitait l'implémentation du contrat kick de MCD qui permettait aux utilisateurs de publier de fausses enchères, d'émettre des DAI, puis d'encaisser des garanties.

Wouter Kampmann, responsable de l'ingénierie chez MakerDAO, a déclaré que les Événements de suivi des bogues comme celui-ci étaient courants.

« C'est grâce à des processus comme ceux-ci que vous parcourez le système et que vous vous assurez qu'il est absolument aussi sécurisé que possible avant de le lancer. »

Le bug a été publié le 28 août et corrigé le 26 septembre. Lucash-dev l'a révélé au public le 1er octobre.

Image de pirate informatiquevia Shutterstock