Подробности взлома DAO Maker на $7 млн. эксклюзив от CEO DAO Maker Cristof Zaknun
Август поставил рекорд по количеству взломов различных проектов. Сначала Poly Network, с самым крупным взломом в истории DeFi, и следом за ним – DAO Maker. Мы вышли на связь с СЕО DAO Maker – Cristof Zaknun, и узнали все подробности из первых уст, на нашем cтриме:
Интервью проходило на английском языке, так что мы подготовили для вас текстовый вариант на русском.
– Что конкретно произошло?
Это был эксплойт кошелька. У нас есть 2 разных типа контрактов. Контракты вестинга и хранилища, куда люди вкладывают DAO, и Essential контракты. Основной контракт всегда был тем, который, как мы думали, с наибольшей вероятностью может быть скомпрометирован. Именно поэтому мы убедились, что депозит относительно низкий, и именно поэтому большинство людей не потеряли все свои деньги. Причина, заключается в том, что для того, чтобы сделать стронгхолд оферинг, мы должны взять всех победителей, которые выиграли в SHO, и отправить это в блокчейн. Единственный способ не делать этого – сделать так, чтобы каждый, кто хочет участвовать в DAO Maker, должен был лично подписать ордер. Это означает, что у нас есть 5 тысяч человек на Essential, которые пытаются попасть в лотерею. И если бы каждый подписал транзакцию, это бы спамило сеть и вызвало бы около четверти миллиона пользователей Эфир и комиссий за газ.
Поэтому мы решили: хорошо, мы должны добавить в него мульти-подпись и постараться сделать его как можно более безопасным. Минимизировать максимальные депозиты в контрактах, чтобы люди не слишком стремились взламывать их. Это мы знали уже в Марте.
Каждый раз когда происходит продажа, нам приходится брать этот кошелек и совершать с ним множество операций. В конце концов, какой-то компьютер был ответственен за взлом этого кода. У нас есть две команды, которые пытаются расследовать, кто именно был ответственен за это. Мы перепроверяем наших собственных сотрудников, проверяем их ноутбуки. Мы также проверяем он-чейн данные. У нас также есть наводка на счёт Binance, и ещё есть наводка на Etherscan.
Два кошелька с мульти-подписью были взломаны. Это позволило хакеру создать контракт Essential. В котором говорилось – вот победители, и они выиграли распределение в тысячу долларов. И если вы выиграли SHO, то 1000 долларов будет снята с вашего депозита, в кошелек наших клиентов, из проектов DAO Maker. Например, у нас есть DinoX, и если вы выиграли его, то смарт-контракт возьмет 500 долларов и отправит их в DinoX. Как только у них появились оба адреса кошельков, скомпрометированные для этого процесса, они смогли создать несколько SHO:
На первом SHO они вытащили всех, кто внес наибольшую сумму денег. У нас был максимальный лимит в 10 тысяч долларов, которые можно было вложить в контракт. Потому что мы знали, что нет смысла подвергать себя еще большему риску. Было около 30 человек, у которых было по 10 тысяч долларов. Поэтому он сделал первый SHO с 30 людьми и 10 тысячами у каждого и вывел их.
Затем он сделал второй со 100 людьми по $5000 у каждого. А дальше принялся за остальных, у которых было по $1000 – 1500.
Хорошая новость – Большинство людей, которые инвестируют в DAO Maker, имеют менее $1000 на депозите. И они не были затронуты вообще. Так что если кто-то вложил в депозитный контракт менее $900, то ваши деньги все еще там. Они в безопасности. Вы можете снять их, когда захотите. Мы изменили все подписи и добавили CopperCo, а также обсудили кастодиальное хранение Coinbase, чтобы обеспечить дополнительные фьючерсы и мульти-подписи с более профессиональными компаниями. Вот краткое описание того, что произошло.
– Почему люди с депозитом менее $1000 не пострадали?
Я предполагаю, что это потому, что когда вы хотите записать данные внутри смарт-контракта, вы не можете ввести более 250 строк кода. Таким образом, это может быть 2 или 50 кошельков. Поэтому хакер сначала попытался бы добраться до более крупных кошельков, на случай, если его поймают в это время. Мы просто отрезали его, прежде чем смогли нанести больший ущерб.
Поскольку у нас много пользователей, на написание смарт-контракта уходит много времени. Он успел добраться только до небольших кошельков, и мы его отрезали.
– Кому был причинён больший ущерб, внутри вашей экосистемы?
Я бы сказал, что нам очень повезло, потому что каждый отдельный клиент мог потерять только $1000 и для некоторых это не больше чем плата за газ. Большинство потеряло небольшие суммы, так что в целом, никто не понёс колоссальных потерь.
Мы всем выплатим компенсацию. Мы еще не определились с планом компенсации. Он будет определен в ближайшие два дня и будет выслан по электронной почте.
Прежде всего, очень важно сказать, что все остальные контракты на DAO Maker не имеют закрытого ключа, или его можно обновить. И я убедился в этом.
Поэтому, когда вы вносите DAO в хранилища, у нас нет возможности, даже если бы мы захотели, взять ваши деньги. Я всегда был предельно ясен в этом вопросе. Мои разработчики хотели убедиться, что это не работает, и облегчить нам обновление контракта для лучшего пользовательского опыта.
Например, месяц назад мы переключились между хранилищами V1 и V2, и это заняло один месяц и было довольно неприятно. Потому что всем пришлось вручную выводить свои деньги. Но это означает, что у нас нет риска того, что централизованный кошелек или мульти-подпись будут взломаны и все DAO будут украдены. Потому что если украдут все DAO, это будет гораздо хуже, чем то, что произошло сегодня.
То, что произошло сегодня, было в основном кражей USDC, поэтому на цену DAO это никак не повлияло. Если бы было украдено хранилище. Во-первых, у отдельного пользователя в хранилище гораздо больше денег, обычно у него больше $5k DAO, и коллективный ущерб DAO возможно, убил бы компанию. Подобный сценарий исключён.
Кроме того, контракты хранилищ являются форками самых известных протоколов DeFi, то есть Syntethics, в которых находятся миллиарды долларов. Так что если вы доверяете Syntethics, то вы можете доверять и хранилищам. Это означает, что до тех пор, пока вся индустрия не развалится, наши хранилища надёжно защищены. В них исключён централизованный сбой, как в контрактах SHO.
– Повлиял ли взлом на экосистему DAO в целом?
Это хороший вопрос. Это не повлияет на других пользователей. Хранилища и вестинг-контракты не могут быть затронуты. Этот взлом был единственным нашим слабым местом, и мы знали о нём. Но до усовершенствования оно было скомпрометировано.
Наш лаунчпад это просто веб-сайт. Некоторые лаунчпады более сложные, некоторые – менее. Но единственная их ценность – это сеть и дополнительные услуги.
Я бы сказал, что этот взлом сильно увеличил нашу известность. Все говорят о нас. Так что общая сеть DAO и ассоциированные с DAO продукты будут расти. Поэтому мы рассматриваем взлом как маркетинговое событие.
Если вы обратились к DAO Maker, то вы поверили в то, что мы очень добросовестно относимся к нашим клиентам, и взлом никак на это не повлияет. Теперь о DAO Maker и платформе знает больше людей. Мы обязательно разберёмся с отдельными инвесторами, и выплатим им компенсацию. Это может очень позитивно повлиять на компанию.
Большинство клиентов приходят к нам из-за консультационных услуг и маркетинговой помощи, которую мы оказываем. Это останется неизменным, даже несмотря на взлом. Это основная причина, по которой эти клиенты и качественные компании приходят в DAO Maker. Я верю, что они будут продолжать приходить в DAO Maker. Поэтому вся эта ситуация через месяц будет иметь положительный эффект для компании.
– Если взлом повлияет на USDC кошельки, может ли Circle заморозить эти деньги?
Именно по этой причине хакеры мгновенно обменяли их на Эфир. Мы собираемся снизить максимальный уровень индивидуального депозита до $2500, что должно снизить риск взлома. Кроме того, в случае транзакций на сумму свыше $3000 мы автоматически уведомим USDC и в случае взлома деньги будут автоматически заморожены.
Мы планировали сделать это ещё до взлома. Так что если бы это случилось через неделю, то, скорее всего, этого бы не произошло.
– Почему так сильно участились взломы проектов?
Я думаю, что главная причина – мосты между сетями. Большинство взломов произошло через несколько месяцев после их массового введения в разные проекты. Взломы, которые происходят в настоящее время, происходят на BSC, где полно плохих кодеров. У нас также недавно был бычий рынок, что означает, что много жадных людей вкладывают деньги в плохо написанный код или проекты с плохим менеджментом. Смесь всех этих вещей и привела ко всем этим взломам.
– Значит, ваша причина – мост между сетями?
О, да. Наш случай – это, по сути, взлом нескольких людей до того, как у нас появилась возможность добавить более строгий протокол к хранилищу с несколькими подписями.
– Что вы можете сказать о взломе Chainport?
Около 150 тысяч DAO пострадали от этого, что не так уж и много, но мы все еще ведем переговоры с Chainport, и они уверяют что предоставят компенсацию. Что касается нескольких других компаний, которые также пострадали, мы проводим переговоры с ними, чтобы повлиять на движение цены. Так что это, гораздо худший сценарий, чем когда крадут стейблкоины. Потому что в этом случае также произойдет обвал цен токенов. Chainport строили свою систему в спешке, и не ввели никаких протоколов с мульти-подписями, прежде чем они могли начать работать, поэтому, как только один ключ был использован или скомпрометирован, стал возможен взлом, c последующим выводом большинства средств из Chainport.
Мы больше не будем поддерживать централизованные мосты для нескольких монет. Потому что риск слишком высок. Как только мост для IPAD будет закончен, а также будут завершены последние переговоры с Chainport, мы отправим эридроп DAO всем людям, у которых есть токены BSC DAO, и это будет завершением всей этой истории с Chainport.
– Почему CEO 2key Network утверждал что взлома не было?
Он говорит, что взлома не было, потому что взлом обычно означает, что был найден эксплоит в коде. Но на деле, кто-то просто залез в его компьютер и украл ключ. Мы не имеем к этому никакого отношения. Это другая компания, создающая свой собственный продукт. Точно так же, как и любой другой клиент DAO Maker.
– Какие ваши дальнейшие планы, в связи с произошедшим, и готовится ли релиз новых продуктов от DAO Maker?
Мы росли чрезвычайно быстро. Сейчас у нас гораздо больше активных кошельков и синтетиков. Главной задачей последних двух месяцев было улучшение фундаментальных основ компании. Безопасность каждого аспекта. С точки зрения законодательства. С точки зрения создания компании. С точки зрения качества найма.
Мы наняли нового финансового директора, который нам очень помог. Мы ввели новые протоколы безопасности с несколькими подписями и кастодиальные услуги. Мы находимся в процессе перемещения всех заблокированных DAO к нескольким застрахованным провайдерам, так что у нас не будет накладных расходов, связанных с кражей всех DAO. Мы делаем то же самое для контрактов вестинга.
Основной процесс сейчас заключается в том, чтобы поддерживать бизнес, потому что он идет очень хорошо. В то же время мы следим за тем, чтобы все решалось на более фундаментальной основе, чтобы исключить подобные взломы. Мы разрешим сложившуюся ситуацию и будем двигаться вперёд. Будет выпущено несколько продуктов, увеличим количество сборов средств, которые мы делаем. Увеличим возможности наших продуктов. Что, надеюсь, улучшит компанию в целом.
Но я не хочу вдаваться в подробности того, что мы собираемся строить. Пока люди, которые пострадали сегодня, не получили компенсацию. Нужно закрыть эту главу, прежде чем двигаться дальше.
– Как можно проверить, был ли взломан мой аккаунт?
Если у вас на счету было меньше $900, то вас не взломали. Если больше, то вас взломали и на сайте daomaker.com, в разделе портфолио, вы сможете увидеть что с вашего счёта было выведено $900.
