DAO Maker - REKT

DAO Maker, DAOblemente rekt.

Hace menos de un mes, perdieron $7M.

Ahora han perdido otros $4M.

No cubrimos el primer exploit, pero si te quedas rekt-on-repeat, tenemos algo para decir.

Crédito: Mudit Gupta

La función init() fue dejada vulnerable, permitiendo al agresor reiniciar 4 contratos token con datos maliciosos. Después, la función emergencyExit() fue utilizada para retirar los fondos de cada uno.

Los cuatro contratos y las transacciones de retirada se encuentran aquí:

0x6e70c88be1d5c2a4c0c8205764d01abe6a3d2e22 - emergencyExit con 13.5M CAPS

0xd6c8dd834abeeefa7a663c1265ce840ca457b1ec - emergencyExit con 2.5M CPD, dos veces

0xdd571023d95ff6ce5716bf112ccb752e86212167 - emergencyExit con 1.44M DERC

0xa43b89d5e7951d410585360f6808133e8b919289 - emergencyExit con aprox. 20.6M SHO

Después de la rutina de exploit y swap, el agresor llamó init() en dos contratos más.

Sin embargo, los dos contratos ya habían recibido llamadas init() desde una nueva dirección, cuyo registro de transacciones muestra una serie de llamadas init()-emergencyExit(), extrayendo millones de SHO, junto con ALPHR y LSS.

Las últimas cuatro transacciones en esta dirección muestran la devolución de los tokens extraídos, luego una transferencia de posesión; tal vez las actividades retrasadas de un white hat o los devs intentando salvar lo que quedaba.

El agresor, a continuación, vendió cada uno de los tokens:

Ternoa: 13.5M CAPS por 378,189 DAI en 1inch

Coinspaid: 5M CPD por 158,216 DAI en 1inch

DeRace: 1.44M DERC por 997,833 DAI en 1inch

Showcase: 20.6M SHO por 67,663 DAI vía MetaMask Swap Router

Efectos en los precios (a la hora de redacción).

Ternoa CAPS cayó a -45%, ahora -11%

CoinsPaid CPD cayó a -60%, ahora -25%

DeRace DERC cayó a -75% inicialmente, ahora alrededor de -25%

Showcase SHO comerciando aprox. -75%

Los precios de cada token han recuperado algo desde el exploit, pero no tanto como afirma DAO Maker.

El código fuente de DAO Maker no es público, ¿tuvo acceso un agente externo o hay un insider en quien no deben confiar?

Transmisión en vivo de un dev de DAO Maker siendo rekt por su propio protocolo.

Como dijo Mr Gupta en Twitter;

DaoMaker afirmó que tuvo auditorías de 3 empresas pero viendo learn.daomaker.com/audits, 2 de las auditorías parecen ser para contratos no relacionados mientras el tercero de @certik_io dirige a un enlace inactivo.

Esperamos una clarificación de Certik.

Incluso si las tres auditorías fueron reales y relevantes, ningún protocolo hackeado debería intentar culpar a sus auditores.

La buena seguridad tiene que venir del equipo, no subcontratando a una empresa auditora.

Cada paso tiene que ser perfecto.

Contratación, diseño de especificaciones, revisiones de código, fuzzing, verificación formal, programa de caza de bugs, manejo de incidentes, la lista sigue...

Pero tal vez es demasiado tarde para DAO Maker, después de este DAOble golpe.

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.