다오 메이커(DAO Maker) - REKT

또다시.

그들이 700만 달러를 도난당한 지 채 한 달이 되지 않았습니다.

이제 그들은 또 다른 400만 달러를 또 도난당했습니다.

처음 해킹당한 사건을 다루지는 않았지만, 지속해서 해킹을 당한다면 저희도 무언가를 말해야 하기는 할 것 같습니다.

Credit: Mudit Gupta

다오 메이커(DAOMaker)의 init() 기능은 여전히 약점이 노출된 채 남아있었고, 해커들은 악의적인 데이터를 포함한 채로 기존의 4개의 토큰 컨트랙트를 새롭게 재시작시켰습니다. 그리고 emergencyExit() 기능을 통해 각각의 자금들을 빼갔습니다.

네 개의 컨트랙트와 출금 트랜잭션 리스트는 다음과 같습니다:

0x6e70c88be1d5c2a4c0c8205764d01abe6a3d2e22 - emergencyExit 으로 135만 CAPS 출금

0xd6c8dd834abeeefa7a663c1265ce840ca457b1ec - emergencyExit 으로 250만 CPD 출금, 두 번

0xdd571023d95ff6ce5716bf112ccb752e86212167 - emergencyExit 으로 144만 DERC 출금

0xa43b89d5e7951d410585360f6808133e8b919289 - emergencyExit 으로 대략 206만 SHO 출금

해킹하고 스왑하는 과정을 거친 이후에, 해커는 추가로 두 개의 컨트랙트에 대해서 init() 을 시행했습니다.

두 개의 컨트랙트는, 이미 새로운 주소에서 실행했었던 것이었고, 이 주소의 트랜잭션을 보면 여러 개의 init()-emergencyExit() 요청을 통해 수백만 개의 SHO와 더불어 ALPHR과 LSS를 빼간 것을 확인할 수 있었습니다.

이 주소의 마지막 네 개의 트랜잭션은 추출된 토큰들을 회수하고, 소유권을 변경하는 것이었습니다; 아마도 뒤늦은 정직한 행동이거나, 아니면 개발자들이 남은 것이라도 구해보려고 하는 것이었을 수 있습니다.

해커들은 각 토큰을 매도하기 시작했습니다:

Ternoa: 1inch에서 135만 CAPS 를 378,189 DAI에 매도

Coinspaid: 1inch에서 500만 CPD 를 158,216 DAI에 매도

DeRace: 1inch에서 144만 DERC 를 997,833 DAI에 매도

Showcase: 메타마스크 스왑 라우터를 통해 20.6M SHO 를 67,663 DAI에 매도

가격에 미치는 영향은 다음과 같았습니다(이 글의 작성 당시).

Ternoa CAPS -45%까지 떨어졌고, 현재 -11%

CoinsPaid CPD -60%까지 떨어졌고, 현재 -25%.

DeRace DERC -75%까지 떨어졌고, 현재 -25%,

Showcase SHO 대략 -75%에서 거래 중

해킹 이후에 모든 토큰의 가격들은 대부분 회복을 했지만, 다오 메이커(DAO Maker)가 주장한 만큼은 아니었습니다.

다오 메이커(DAO Maker)의 소스 코드는 공개되지 않았습니다. 외부인에게 노출이 된 것일까요? 아니면 신뢰할 수 없는 내부자의 소행일까요??

다오 메이커(DAO Maker)의 개발자가 그들의 프로토콜이 해킹당한 이후에 공개한 내용입니다.

Mr Gupta님이 트위터에 트윗하였듯이;

다오 메이커(DaoMaker)는 서로 다른 세 곳에서 오딧(audit)을 받았다고 주장하는데, 그러나 learn.daomaker.com/audits를 보면, 오딧(audit)을 받은 두 곳은 해당 컨트랙트와 관련이 없고, @certik_io에서 받은 오딧(audit)은 링크가 깨져있습니다.

저희는 Certik으로 부터 명확한 상황의 설명을 기다리고 있습니다.

만약 모든 오딧(audit)이 실제로 이루어졌고 해킹된 컨트랙트와 연관이 되어있다고 해도, 해킹당한 프로토콜은 그들에게 비난의 화살을 넘기려고 하면 안 됩니다.

철저한 보안은 해당 팀이 구축해야 하며, 오딧(audit) 회사에 외주를 준 것이 아니기 때문입니다.

모든 과정은 완벽해야 합니다.

개발자를 고용하고, 스펙을 디자인하고, 코드를 리뷰하고, 테스트해보고, 퍼징(fuzzing)해보고, 공식적인 인증과정을 거치고, 버그 바운티 프로그램을 진행하고, 돌발 상황을 처리하는 것 등등 완벽하기 위해서 진행해야 하는 과정은 계속 열거할 수 있을 만큼 많습니다...

그러나 다오 메이커(DAO Maker)는 이미 늦었고, DAO를 다시 만들고 고칠 수밖에 없습니다.

REKT는 익명 작성자들에 의한 공공 플랫폼이며, REKT에 작성된 관점이나 내용에 대해서 그 어떤 책임도 지지 않습니다.

기부 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

disclaimer:

REKT는 당사 웹 사이트의 익명의 작성자 또는 REKT에 의해 게시되거나 관련된 서비스에서 게시되는 콘텐츠에 대해 어떠한 책임도 지지 않습니다. 당사는 익명 작성자들의 행동 및 게시물에 대한 규칙을 제공하지만, 익명의 작성자가 웹 사이트 또는 서비스에 게시, 전송 혹은 공유한 내용을 통제하거나 책임지지 않으며, 귀하가 웹 사이트 또는 서비스에서 직면할 수 있는 불쾌함, 부적절함, 음란함, 불법 또는 기타 해로운 콘텐츠에 대해서도 책임을 지지 않습니다. REKT는 당사 웹 사이트 또는 서비스 사용자의 온라인 또는 오프라인 행위에 대한 책임을 지지 않습니다.