DAO Maker - REKT
DAO Maker, DAOblemente rekt.
Hace menos de un mes, perdieron $7M.
Ahora han perdido otros $4M.
No cubrimos el primer exploit, pero si te quedas rekt-on-repeat, tenemos algo para decir.
Crédito: Mudit Gupta
La función init() fue dejada vulnerable, permitiendo al agresor reiniciar 4 contratos token con datos maliciosos. Después, la función emergencyExit() fue utilizada para retirar los fondos de cada uno.
Los cuatro contratos y las transacciones de retirada se encuentran aquí:
0x6e70c88be1d5c2a4c0c8205764d01abe6a3d2e22 - emergencyExit con 13.5M CAPS
0xd6c8dd834abeeefa7a663c1265ce840ca457b1ec - emergencyExit con 2.5M CPD, dos veces
0xdd571023d95ff6ce5716bf112ccb752e86212167 - emergencyExit con 1.44M DERC
0xa43b89d5e7951d410585360f6808133e8b919289 - emergencyExit con aprox. 20.6M SHO
Después de la rutina de exploit y swap, el agresor llamó init() en dos contratos más.
Sin embargo, los dos contratos ya habían recibido llamadas init() desde una nueva dirección, cuyo registro de transacciones muestra una serie de llamadas init()-emergencyExit(), extrayendo millones de SHO, junto con ALPHR y LSS.
Las últimas cuatro transacciones en esta dirección muestran la devolución de los tokens extraídos, luego una transferencia de posesión; tal vez las actividades retrasadas de un white hat o los devs intentando salvar lo que quedaba.
El agresor, a continuación, vendió cada uno de los tokens:
Ternoa: 13.5M CAPS por 378,189 DAI en 1inch
Coinspaid: 5M CPD por 158,216 DAI en 1inch
DeRace: 1.44M DERC por 997,833 DAI en 1inch
Showcase: 20.6M SHO por 67,663 DAI vía MetaMask Swap Router
Efectos en los precios (a la hora de redacción).
Ternoa CAPS cayó a -45%, ahora -11%
CoinsPaid CPD cayó a -60%, ahora -25%
DeRace DERC cayó a -75% inicialmente, ahora alrededor de -25%
Showcase SHO comerciando aprox. -75%
Los precios de cada token han recuperado algo desde el exploit, pero no tanto como afirma DAO Maker.
El código fuente de DAO Maker no es público, ¿tuvo acceso un agente externo o hay un insider en quien no deben confiar?
Transmisión en vivo de un dev de DAO Maker siendo rekt por su propio protocolo.
Como dijo Mr Gupta en Twitter;
DaoMaker afirmó que tuvo auditorías de 3 empresas pero viendo learn.daomaker.com/audits, 2 de las auditorías parecen ser para contratos no relacionados mientras el tercero de @certik_io dirige a un enlace inactivo.
Esperamos una clarificación de Certik.
Incluso si las tres auditorías fueron reales y relevantes, ningún protocolo hackeado debería intentar culpar a sus auditores.
La buena seguridad tiene que venir del equipo, no subcontratando a una empresa auditora.
Cada paso tiene que ser perfecto.
Contratación, diseño de especificaciones, revisiones de código, fuzzing, verificación formal, programa de caza de bugs, manejo de incidentes, la lista sigue...
Pero tal vez es demasiado tarde para DAO Maker, después de este DAOble golpe.
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
DAO Maker - Community Investigates
Esta es una investigación dirigida por la comunidad por los lectores de rekt.news. DAO Maker, luego de recibir un rekt por $7M y luego $4M el año pasado, propuso un plan de redemption a los usuarios afectados. Pero parece que el equipo cambió de opinión.
Peligro Digital
A medida que las riquezas digitales se disparan, también lo hacen los depredadores oportunistas, emergiendo desde los rincones oscuros del ciberespacio hacia nuestra realidad. Bienvenido al nuevo salvaje oeste, donde tu frase semilla podría ser la combinación que te lleve a la tumba. ¿Está tu cripto haciéndote un objetivo?
Bedrock - Rekt
Bedrock acaba de aprender una lección sobre por qué siempre debes revisar tus cálculos dos veces. En un giro que haría que incluso un físico cuántico se rasque la cabeza, su vault uniBTC decidió jugar rápido y suelto con las tasas de cambio, transformando depósitos en Ethereum en una mina de oro de Bitcoin.