ブロックチェーン 暗号通貨 最新ニュース

Daiが開発するMulti-Collateral Daiシステムにセキュリティ上の欠陥が見つかる

投稿日:

 

 

分散型のステーブルコインとして、イーサリアムブロックチェーン上に構築されたDaiに関し、DeFi組織MakerDAOが開発中の新システムMulti-Collateral Daiに欠陥が見つかった事が発表されました。

 

 

 

Daiの開発中の新システムに欠陥が見つかる

 

 

DeFi組織は、MakerDAOが開発中の新システムであるMulti-Collateral Dai(※以下、MCDと表記)システムに、セキュリティ上の欠陥が発見された事を発表しました。

この欠陥によってデジタルトークンを支える資産が失われる可能性があると公表しており、万が一ハッカーに悪用された場合、この脆弱性により、1回のトランザクションで、すべての資産が消去される可能性がでたと公表しています。

 

セキュリティの欠陥は、HackerOneのエンジニアによって発表されたもので、MCDの発売に先がけて、バグ報奨金テストプログラムを実施したことろ、発見されています。
この欠陥に関するレポートで、ローンを清算する際に担保を競売にかけるために使用するMakerDAOスマート契約のアクセス制御に欠如があり、攻撃者がこれを悪用できることを明らかにしました。

※当サイトのDaiに関する特集記事「メイカー(Maker)とは?歴史や仕組みなど初心者にも簡単に分かりやすく解説」もあわせてご覧ください。

 

 

MakerDAOで見つかった欠陥とは?

 


※画像引用元:Maker

 

 

フリップ契約によって、MCDシステムはDAIと引き換えに担保をオークションにかけることができる仕組みを導入しています。

flip.kickと呼ばれるメソッドには検証プロセスが存在しておらず、攻撃者は偽の入札値でオークションを作成できる状態にあったと発表されています。
オークションにおいて、「終了」契約はその価値を信頼しているため、清算中に任意の量の無料DAIを発行するため、この脆弱性を悪用される可能性があると公表しています。
その結果、任意で発行された無料のDAIをすぐに使用し、「終了」契約に保存されているすべての担保を取得できます。

エンジニアのレポートによると、攻撃を実行するコストはほとんどゼロであると報告されています。

 

 

バグバウンティテスト

 

 

 

あるエンジニアの話では、このような欠陥のほとんどはプロジェクトが稼働するずっと前に発見され、MCDシステムで発見されたセキュリティ欠陥はバグ報奨金テストの重要性を強調していると語っています。

実際、Facebook社が開発中のLibraプロジェクトでは、8月に、HackerOneと協力して公開バグバウンティプログラムを開始すると発表しています。

 

MCDの脆弱性を発見したHackerOneエンジニアは、今回の脆弱性発見に対し、5万ドルの報奨金を受け取った事が海外メディアで報じられています。

 

MakerDAOのシニアソフトウエアエンジニアであるクリス・スミス(Chris Smith)氏は、HackerOneレポートをレビューし、「flip.kick」関数をパブリックに呼び出し可能のままにしておくと、重大な担保損失を引き起こす可能性のある攻撃ベクトルが開かれることを認めるとコメントしています。

なお、スミス氏は、MakerDAOがすでにバグの「修正を実装したとコメントしています。

 

daiエコシステムの担保と負債のレベルを監視するMakerScanによると、現在40,673.89がイーサリアム上にある状態で、現在唯一の担保のソースがシステムにロックされていることが分かっており、現在時点で700万ドル以上の価値を有しています。

これらの欠陥発見にともない、多担保Daiシステムでは、現在他の担保源の追加作成に取り組んでいるとしています。

 

Daiは1DAI=1アメリカドルで設計されたイーサリアムERC-20規格に準拠したを基にしたステーブルコインで、仮想通貨市場の中でも珍しい“分散型金融”と言う使命を持って開発されています。

今回のバグは一般ユーザーがアクセスする前のテスト段階で発見されていることから、実際の被害は発生していない様子です。



-ブロックチェーン, 暗号通貨, 最新ニュース
-, ,

Copyright© Crypto Go , 2019 AllRights Reserved.