ДАО Maker - REKT



ДАО Maker нарвалась на своего мейкера.

Снова.

Меньше месяца назад они потеряли $7M.

Теперь они потеряли еще $4 миллиона.

Мы не осветили первый эксплойт, но если вы без конца get rekt, то мы не можем промолчать...

_Источник: Mudit Gupta _

Функцию init() протокола DAOMaker оставили уязвимой, что позволило хакеру реинициализировать 4 контракта токенов с использованием вредоносных данных. Затем была использована функция emergencyExit(), чтобы вывести фонды из каждого из этих контрактов.

Все четыре контракта и транзакции по выводу перечислены ниже:

0x6e70c88be1d5c2a4c0c8205764d01abe6a3d2e22 - emergencyExit на 13.5M CAPS

0xd6c8dd834abeeefa7a663c1265ce840ca457b1ec - emergencyExit на 2.5M CPD, дважды

0xdd571023d95ff6ce5716bf112ccb752e86212167 - emergencyExit на 1.44M DERC

0xa43b89d5e7951d410585360f6808133e8b919289 - emergencyExit на приблизительно 20.6M SHO

Покончив с рутиной эксплойта и обмена, хакер сделал вызовы init() на еще двух контрактах.

Оба контракта, однако, ранее уже были вызваны новым адресом, в истории транзакций которого есть серия вызовов init()-emergencyExit(), с помощью которых кто-то вывел миллионы SHO, а также ALPHR и LSS.

Последние четыре транзакции этого адреса показывают, что украденные токены были возвращены, а затем был произведен трансфер собственных токенов. Возможно, это была запоздалая попытка белого хакинга, или же разрабы попытались спасти то, что осталось.

Хакер продолжил продавать каждый из токенов.

Ternoa: 13.5M CAPS за 378,189 DAI на 1inch

Coinspaid: 5M CPD за 158 216 DAI на 1inch

DeRace: 1.44M DERC за 997 833 DAI на 1inch

Showcase: 20.6M SHO за 67,663 DAI через MetaMask Swap Router

Влияние на цены (в момент написания):

Ternoa CAPS упала на -45%, сейчас -11%

CoinsPaid CPD упала на -60% а теперь -25%.

DeRace DERC сначала упала на -75%, сейчас торгуется около -25%,

Showcase SHO торгуется по приблизительно -75%

Цены на все затронутые токены немного выправились после эксплойта, хотя не так сильно, как заявила ДАО Maker.

Исходный код ДАО Maker не открыт для широкой публики. Получил ли к нему доступ аутсайдер, или же здесь имеется инсайдер, которому нельзя доверять?

В прямом эфире разработчик Maker ДАО, которого отправляет в rekt его же собственный протокол.

Как сказал мистер Gupta в Твиттере:

DaoMaker заявили, что провели 3 аудита в исполнении разных фирм, но если покопаться в learn.daomaker.com/audits, то 2 аудита, похоже, были проведены на не имеющих отношения контрактах, а третий, проведенный @certik_io, указывает на мертвую ссылку.

Мы ждем объяснений от Certik.

Даже если все эти три аудита действительно были выполнены, и выполнены качественно, все же ни один протокол, подвергшийся хакерской атаке, не должен перекладывать вину на своего аудитора.

Качественная безопасность должна обеспечиваться командой, а не передаваться на аутсорсинг аудиторской компании.

Каждый шаг должен быть идеальным.

Найм новых сотрудников, образцы дизайна, проверки кода, тестирование, фаззинг, формальная проверка, программа баг-баунти, обработка инцидентов... Этот список можно продолжать.

Но, возможно, для ДАО Maker уже слишком поздно, им просто придется создавать дао и чинить.


Поделиться

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.