DAO Maker - REKT
DAO Maker a rencontré son créateur.
Une nouvelle fois.
Ils avaient perdu 7 millions de dollars il y a un peu moins d'un mois.
Ils viennent désormais de perdre 4 millions de dollars de plus.
Nous n'avions pas couvert le premier exploit, mais si vous continuez de vous faire rekt en boucle, nul doute que nous avons alors quelque chose à dire.
Source : Mudit Gupta
La fonction init() de DAOMaker avait été laissée vulnérable, permettant à l'assaillant de réinitialiser 4 contrats de tokens avec des données malveillantes. Puis la fonction emergencyExit() a été utilisée pour retirer les fonds de chacun d'entre eux.
Les quatre contrats et les transactions de retrait sont énumérés ci-dessous :
0x6e70c88be1d5c2a4c0c8205764d01abe6a3d2e22 - emergencyExit avec 13.5M CAPS
0xd6c8dd834abeeefa7a663c1265ce840ca457b1ec - emergencyExit avec 2.5M CPD, deux fois
0xdd571023d95ff6ce5716bf112ccb752e86212167 - emergencyExit avec 1.44M DERC
0xa43b89d5e7951d410585360f6808133e8b919289 - emergencyExit avec environ 20.6M SHO
Après l'habituel exploit and swap, l'assaillant a ensuite effectué des calls init() sur deux autres contrats.
Les deux contrats, cependant, avaient déjà été call par une nouvelle adresse, dont l'historique des transactions montre une série de call init()-emergencyExit(), extrayant des millions de SHO, ainsi que des ALPHR et LSS.
Les quatre dernières transactions de cette adresse montrent le retour des tokens extraits, puis un transfert de propriété; peut-être un comportement whitehat tardif, ou alors une tentative de sauver ce qui pouvait encore l’être de la part des développeurs.
L'assaillant a ensuite vendu tous les tokens :
Ternoa : 13.5M de CAPS pour 378 189 DAI sur 1inch.
Coinspaid : 5M de CPD pour 158 216 DAI sur 1inch
DeRace : 1.44M de DERC pour 997,833 DAI sur 1inch
Showcase : 20.6M de SHO pour 67,663 DAI via MetaMask Swap Router
Effets sur les prix (au moment de la rédaction de cet article) :
Ternoa CAPS a chuté jusqu’à -45% et maintenant -11%.
CoinsPaid CPD a chuté jusqu’à -60% et maintenant -25%.
DeRace DERC a chuté jusqu’à -75% initialement, et se trade maintenant autour de -25%.
Showcase SHO se trade à environ -75%.
Les prix de tous les tokens concernés se sont quelque peu redressés depuis l'exploit, mais pas autant que ne le prétend DAO Maker.
Le code source de DAO Maker n'est pas public. A-t-il été exposé à une personne extérieure, ou existe-t-il un initié qui n‘est pas digne de confiance ?
Images en temps réel d'un développeur de DAO Maker se faisant rekt par son propre protocole.
Comme l'a indiqué M.Gupta sur Twitter :
DaoMaker a déclaré avoir fait l'objet d'audits de la part de 3 sociétés, mais, si l'on jette un œil à learn.daomaker.com/audits, 2 des audits semblent concerner des contrats sans rapport avec le projet, et le troisième, celui de @certik_io, renvoie à un lien mort.
Nous attendons des éclaircissements de la part de Certik.
Même si les trois audits étaient réels et pertinents, aucun protocole hacké ne devrait essayer de rejeter la faute sur ses auditeurs.
Une bonne sécurité doit venir de l'équipe, et ne doit pas être sous-traitée à une société d'audit.
Chaque étape doit être parfaite.
Recrutement, conception des spécifications, revues de code, tests, fuzzing, vérification formelle, système de primes aux bugs, traitement des incidents, et la liste est longue...
Mais il est probablement trop tard pour DAO Maker, qui devra peut-être chercher à se reconvertir en DAO Réparation.
REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.
faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
avertissement:
REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.
vous pourriez aussi aimer...
Fortress Protocol - REKT
La forteresse est un champ de ruines après que 3M$ aient été volés suite à une manipulation d'oracle et un acte de gouvernance malveillant. L'interface utilisateur est mise en pause, mais les contrats restent actifs. L'écosystème de Fortress renflouera-t-il les utilisateurs pour les fonds perdus ?
MM Finance - REKT
Mad Meerkat Finance (à ne pas confondre avec Meerkat Finance normal) a perdu 2 million de dollars à cause d'un exploit de DNS. Attaques front-end, attaques back-end, quand cela cessera-t-il donc ?
Fei Rari - REKT
Fei Rari - rekt. Sept des pools Fuse de Rari ont été drainés pour un total d'environ 80 millions de dollars. Ce n'est pas la première fois que Rari se fait rekt - espérons que les hackers ne réaliseront pas le coup du chapeau.