Un utente di HackerOne svela una grave falla nella sicurezza in uno smart contract di MakerDAO

MakerDAO, organizzazione decentralizzata basata sul network di Ethereum, ha risolto una grave falla nella sicurezza che avrebbe potuto causare una totale perdita dei fondi da parte degli utenti.

Un premio di 50.000$

Il primo ottobre, un utente di HackerOne ha divulgato un resoconto che rivelava un bug critico presente nell'aggiornamento Multi-Collateral Dai (MCD) di MakerDAO. Questa falla nella sicurezza avrebbe potuto consentire ad un malintenzionato di rubare tutti i fondi presenti all'interno del sistema MCD, potenzialmente con un'unica transazione:

"La mancanza di convalida nel metodo flip.kick avrebbe consentito ad un potenziale assalitore di creare un'asta con un'offerta falsa. Poiché il contratto finale si fida di quel valore, questa vulnerabilità può essere sfruttata per emettere qualsiasi quantità di Dai durante il processo di liquidazione. Questi Dai possono poi essere immediatamente utilizzati per ottenere tutti i fondi presenti nel contratto."

Fortunatamente il bug è stato scoperto durante la fase di testing, prima che gli utenti reali potessero accedere al sistema. L'utente che ha segnalato il bug ha ricevuto da MakerDAO un premio di 50.000$.

Risolta un'altra grave vulnerabilità a maggio

A maggio di quest'anno, MakerDAO aveva annunciato un aggiornamento critico per risolvere una grave falla nella sicurezza presente nel suo smart contract di governance. Il bug era stato scoperto durante la seconda fase di revisione prevista dalla partnership fra DAO, l'exchange di criptovalute Coinbase e la start-up Zeppelin.