CAS:拯救10%的資產安全，MakerDAO修復多抵押品系統重要漏洞

MakerDAO已經修補了其尚未啟動的多抵押品Dai(MCD)升級中的一個重要漏洞，該漏洞可能會使系統超過10%的抵押品置于風險之中。

這個漏洞是HackerOne用戶lucash-dev發現的，他通過HackerOne論壇報告了這個漏洞，并因為發現這個殺傷力極強的漏洞獲得了5萬美元的獎金。

伯恩斯坦：拯救灰度最好的選擇是為該集團進行全面的戰略融資:金色財經報道，伯恩斯坦在周四的一份研究報告中表示，Genesis延長了提款凍結時間——該銀行已經告訴債權人，將需要幾周時間來找到解決方案。

母公司DCG欠Genesis約17億美元。伯恩斯坦認為DCG有三種潛在的方法：它可以籌集資金；出售非戰略資產，拯救數字貨幣資產管理公司Grayscale；或者解散GBTC。對DCG來說，最好的選擇是為該集團進行全面的戰略融資。（coindesk）[2022/12/9 21:34:13]

MakerDAO高級軟件工程師ChrisSmith表示：

CZ：Binance原本想拯救用戶，但后來發現FTX挪用用戶資金:11月12日消息，幣安首席執行官趙長鵬在2022年印度尼西亞金融科技峰會上發表講話時再次談到了FTX崩盤，他表示，我認為基本上我們現在已經倒退了幾年。監管者理所當然地會更加嚴格地審查這個行業，老實說，這可能是一件好事。過去三天只是暴露出問題，其實問題存在的時間更長，這些問題不是最近三天造成的。Binance原本的意圖是想拯救用戶，但后來發現FTX挪用用戶資金的消息，尤其是美國監管機構的調查（讓我們意識到）我們不能再碰它了。（cointelgraph）[2022/11/13 12:56:48]

“我們的拍賣系統允許潛在的攻擊者創建一個虛假的拍賣，簡單來說提供少量抵押品就可以獲得大量的DAI。系統會相信這個數字，并將其用作系統中抵押品的信用，允許黑客從系統中拿走其他抵押品。”

Asproex（阿波羅）月球拯救計劃合約大賽累計交易額達6000萬USDT:據官方消息，自11月28日Asproex（阿波羅）月球拯救計劃啟動以來，當前累計報名艦隊達18支，累計交易人數破千人，累計交易額達6000萬USDT。其中蘭陵精英艦隊累計交易額達940萬USDT，暫列榜單第一，此次Asproex（阿波羅）月球拯救計劃交易大賽將持續至12月12日結束，期間所有用戶皆可報名參與或組建艦隊贏取MacBook Pro電腦及MOON大獎。

Asproex（阿波羅）作為一家離岸銀行控股持牌交易平臺，涵蓋CTO(Corporate Token Offering)企業通證上市、合約跟單、ETT指數通證、數字礦業、數字銀行板塊并持有5國合法牌照，致力于為全球中小微企業提供數字化上市一站式服務。[2020/12/5 14:08:22]

這個漏洞可能會破壞MakerDAO計劃中的MCD。Lucash-dev在他的報告中稱，其“允許攻擊者在清算階段竊取MCD系統中存儲的所有抵押品——可能只需要一筆交易。”

Lucash-dev說：

“如果這發生在正式的環境中，那將是災難性的。”

幸好這次MCD升級并未上線主網——它是在測試階段被發現的，用戶還不能訪問系統。

lucash-dev和MakerDAO的工程師都表示，沒有用戶資金存在風險。

根據新的MCD升級，用戶將能夠用以太坊以外的加密貨幣作為抵押，發行新的Dai。這些“債務抵押債券持倉”的價值必須與流通中的Dai相匹配，因為Dai是一種代表性貨幣——就像美元以黃金為支撐時的情況一樣。特定用戶可以觸發清算模式來平衡系統。

Lucash-dev說，該系統有一個錯誤：

“新的多抵押品DAI合約可以進入‘清算模式’——這意味著所有DAI持有者將只持有與他們質押的DAI份額相對應的抵押品。該漏洞允許攻擊者欺騙系統給他們任意數量的代幣，這些代幣可以通過作為抵押品的所有代幣進行交易！”

該漏洞利用了MCD的kick合約部署，允許用戶發布虛假拍賣、發行DAI，然后兌現抵押品。

MakerDAO的工程主管WouterKampmann說，像這樣的漏洞跟蹤事件是很常見的。

“通過像這樣的過程，可以檢查系統，確保它在啟動之前是絕對安全的。”

該漏洞發布于8月28日，并于9月26日修復。Lucash-dev于10月1日向公開披露了這一消息。

Tags：DAIMCDCASDEVFLOKIBASEDAIMcDonaldsCoinCASHTHAIdev幣圈什么意思

以太坊