Dev标记的重大漏洞可能导致3.4亿美元的盗窃,并窃取了MakerDAO的所有ETH

  • 攻击将需要一些MKR鲸鱼或许多次要MKR地址的工作。
  • 此类攻击的成本约为2000万美元,甚至更多。

Maker协议目前持有3亿美元的ETH,但它是否像投资者所相信的那样安全? Augur原始白皮书的开发者和合著者Micah Zoltu最近发表了一篇帖子,指出MakerDAO存在很大的漏洞。他在博客中指出,此漏洞可能会受到攻击,从而从MakerDAO系统中提取所有的ETH。

通常,用户会将ETH锁定在Maker协议中,从而使他们能够创建涉及DAI稳定币(与美元挂钩)的贷款。但是,佐尔图指出,制造商的管理方式会产生问题,并指出:“一些富豪可以控制系统的行为。”

发生攻击的唯一方法是,如果一些MKR鲸鱼决定采取快速行动,尽管复杂的攻击仅需40,000 MKR。根据目前为Maker实施的投票系统和质押方法,使用48,400 MKR可使攻击立即发生。从本质上讲,要想实现这一目标,至少需要2,000万美元的加密货币,前提是这种购买的价格不会上涨,而这种可能性不大。佐尔图继续写道

“ Maker基金如果愿意的话,现在就不能以这种方式攻击系统,这毫无价值。更糟糕的是,(风险投资公司)a16z现在有足够的MKR可以耐心地执行攻击”

除了希望看到DeFi应用程序蓬勃发展的个人从事内部工作的可能性之外,实际上获得这种攻击所需的所有MKR的能力可能是最大的挑战。 Pantera Capital的合伙人乔伊·克鲁格(Joey Krug)已意识到此漏洞,他说:

“我觉得它的价格至少要高出一倍。如果您要支付双重市场,您可能会得到很多鲸鱼要卖给您的场外交易。”

在公开市场上,如果攻击者必须从第一个方格开始,则价格将成倍飙升。

就目前而言,MKR令牌支配Maker协议。一百万的薄荷糖已经被烧掉了,但是Maker基金仍然掌控着数十万的资金和智能合约。在撰写本文时,单个MKR的售价为499.16美元,每天处理的营业额约为400万至1000万美元。

通过持有MKR,任何投资者都可以签定智能合约,尽管Maker使用持续治理可以随时进行更改。该系统刚刚从单质押DAI升级到了多质押DAI,这意味着该协议可以使用一个全新的版本。现在,有两种DAI,用户被迫将其旧的DAI转换为当前的DAI。

尽管存在新的安全性更改,例如延迟投票表决的更改生效,但Zoltu指出最大的弱点是没有治理延迟。这意味着,任何经过表决和批准的条款都将立即生效,工程主管Wouter Kampmann认为,现在最好这样做。坎普曼补充说:“这实际上是在那找到最甜蜜的地方。”

坎普曼在与CoinDesk交谈时表示,MakerDAO持有的所有ETH都不会被转移到攻击者可以控制的钱包中。相反,坎普曼说,

“未经许可,不可阻挡的代码的工作方式是,存在确定确定如何与合约进行交互的规则的某些业务逻辑,而这些规则是不可更改的。”

这种攻击需要大量的情报和计划,但是任何想起DAO黑客的人都可能有点紧张。佐尔图(Zoltu)的攻击理论将需要迅速发生,因为治理延迟可能会在第一季度(可能最早在一月份)增加。但是,这个决定实际上并不取决于基金会人员。坎普曼说,

“您不能仅仅忽略它的经济性。所提出的模型确实存在激励模型中的问题。”

目前,有几条鲸鱼已经增持了足够的MKR来以这种方式进行攻击,但是不太可能。这次攻击最终将导致其在其他资产中的价值损失,从而动摇以太坊,使他们付出的代价远远超过获得的价值。坎普曼(Kampmann)指出,如果MKR持有人关心协议的安全性,则应该对其票进行质押。另外,还有很多MKR处于观望状态。克鲁格补充说,尽管MKR鲸可能有良好的意图,但是“肯定地假设”是不明智的。

这种攻击的另一种选择是需要许多小鲸鱼之间的大规模协作,这些小鲸鱼占了大约16,000个ETH地址。如果他们在不引爆MakerDAO社区的情况下合并部队,则有可能在收集足够的代币的同时避免价格波动。考虑到MKR的进展不大,这种合作根本不可能,但是Zoltu并不认为所有这些假设都能使该协议足够安全。 Zoltu添加了,

“他们(制造商基金会)的运作是在假设攻击者没有可用的流动资金黑矿池的前提下。从定义上来说,这是人们所不知道的。”

正如The Next Web的硬分叉指出的那样,MakerDAO最近表示,十月份还有另一个主要的安全漏洞,允许在DAI升级发布之前盗窃以太坊。

资讯来源:由0x资讯编译自BITCOINEXCHANGEGUIDE。版权归作者所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢