拯救10%的资产安全，MakerDAO修复多抵押品系统重要漏洞

MakerDAO已经修补了其尚未启动的多抵押品Dai(MCD)升级中的一个重要漏洞，该漏洞可能会使系统超过10%的抵押品置于风险之中。

Gate.io 参与拯救YAM项目投票:据YAM官方说明，YAM调仓机制出现bug，需在8月13日（今天）下午15:00前获得投票帮助从而通过提案，修复调仓机制问题。Gate.io决定将为YAM进行投票，同时号召在钱包中持有YAM的用户在保证安全的情况下通过YAM官方网址进行投票，拯救YAM项目。

目前，投票时间已不足三小时。投票后需要锁定约3天时间不能提现（不影响交易），官方Twitter表示后续将考虑给予投票人奖励，Gate.io将跟进奖励和补偿措施。Gate.io平台用户如果不想参与此次投票，请务必于2020年8月13日下午14:00 UTC+8之前提交工单告知平台。[2020/8/13]

这个漏洞是HackerOne用户lucash-dev发现的，他通过HackerOne论坛报告了这个漏洞，并因为发现这个杀伤力极强的漏洞获得了5万美元的奖金。

ET CETERA商城推出“拯救者”计划:据官方消息，ET CETERA官网最新消息，ET CETERA商城推出“拯救者”计划。“拯救者”计划是指消费者在商城消费，平台以EMC积分返还给消费者；除此之外，平台商家让利16%给平台，平台以EMC积分的模式奖励给消费者，同时奖励商家，收益奖励按每天万分之三到万分之五释放。[2020/4/19]

MakerDAO高级软件工程师ChrisSmith表示：

动态 | BTC.com矿池联合多家矿机服务商推出“S9拯救计划”:据北土城池子公众号消息，BTC.com矿工之家联合OKKONG、来淘矿、印比特、矿讯推出“S9拯救计划”，向社区用户提供S9双筒改造及降频方案，降低比特币价格下跌对S9的冲击。[2020/1/2]

“我们的拍卖系统允许潜在的攻击者创建一个虚假的拍卖，简单来说提供少量抵押品就可以获得大量的DAI。系统会相信这个数字，并将其用作系统中抵押品的信用，允许黑客从系统中拿走其他抵押品。”

这个漏洞可能会破坏MakerDAO计划中的MCD。Lucash-dev在他的报告中称，其“允许攻击者在清算阶段窃取MCD系统中存储的所有抵押品——可能只需要一笔交易。”

Lucash-dev说：

“如果这发生在正式的环境中，那将是灾难性的。”

幸好这次MCD升级并未上线主网——它是在测试阶段被发现的，用户还不能访问系统。

lucash-dev和MakerDAO的工程师都表示，没有用户资金存在风险。

根据新的MCD升级，用户将能够用以太坊以外的加密货币作为抵押，发行新的Dai。这些“债务抵押债券持仓”的价值必须与流通中的Dai相匹配，因为Dai是一种代表性货币——就像美元以黄金为支撑时的情况一样。特定用户可以触发清算模式来平衡系统。

Lucash-dev说，该系统有一个错误：

“新的多抵押品DAI合约可以进入‘清算模式’——这意味着所有DAI持有者将只持有与他们质押的DAI份额相对应的抵押品。该漏洞允许攻击者系统给他们任意数量的代币，这些代币可以通过作为抵押品的所有代币进行交易！”

该漏洞利用了MCD的kick合约部署，允许用户发布虚假拍卖、发行DAI，然后兑现抵押品。

MakerDAO的工程主管WouterKampmann说，像这样的漏洞跟踪事件是很常见的。

“通过像这样的过程，可以检查系统，确保它在启动之前是绝对安全的。”

该漏洞发布于8月28日，并于9月26日修复。Lucash-dev于10月1日向公开披露了这一消息。

标签：DAIYAMASHUCAHondaisCoinYamv3zcash币挖矿ALUCARD

比特币最新价格热门资讯