分析师称,价值340,000,000美元的以太坊锁定的ETH可能在几秒钟内被盗
TL; DR:最近,一位分析师在Maker Dao治理中发现了一个可利用的怪癖,发生在版本升级之间。研究人员米卡·佐尔图(Micah Zoltu)声称,购买价值2,000万美元的代币制造商(MKR)的鲸鱼或进取集团可以在Maker DAO中有效地解锁所有质押品(ETH)(约3.4亿美元)……数秒之内就可以清除整个项目,并进行游刃有余以太坊的完整性
价值340,000,000美元的ETH可能在几秒钟内被盗
非营利性加密货币教育组织Coinmonks的研究人员佐尔图坚称:“自从Maker v2推出之前,Maker就已经意识到了这个问题。尽管如此,他们还是选择不堵塞孔(堵塞很容易)。因此,我不认为闭嘴并不对我负责,也不希望任何攻击者都能弄清楚对Maker治理模式了解的人应该明白的事情。”
Maker是在以太坊上的智能合约迭代。它的设计是有效地支持并保持稳定的DAI(稳定币)。显然,这是通过质押债务头寸(CDP)实现的:MKR代币是根据DAI价格铸造或烧掉的,着眼于美元平价。这是一个充满异国情调的以太坊项目,因此以太坊在概念上被加密货币分析师密切关注,尤其是其治理系统。
MKR爱好者“应该吓到的是,这不是#DeFi,而是#CeFi,而不是只有一个人可以窃取您的所有钱(银行),银行或许多大型个人中的任何一个股东或一群小股东可以决定随时窃取您的全部资金。”佐尔图强调。
一笔交易
佐尔图发现Maker的最新版本2“应该以安全措施(紧急关闭和治理延迟)启动,以防止敌对的MKR持有者窃取所有质押品,并可能在此过程中抢劫大部分Uniswap,Compound和与Maker集成的其他系统。取而代之的是,他们决定不这样做。
领导者下注系统通过州长使用:MKR被下注到系统上所需的合约。质押最大的收益控制。 Zoltu继续说道:“自当前执行合约以来,大约有80,000 MKR的股份,对您想要与Maker合约做任何事情的天真成本约为80,000 MKR,或约4,100万美元。”攻击开始时,合约可以执行给定功能之前存在内置延迟。佐尔图认为,这种延迟是一切都可能出错的地方。
他进一步解释说:“问题是,Maker基金决定此治理延迟的适当值为0秒。是的,防御者有0秒的时间来抵御一个富有但恶意的政党发动的攻击。”根据佐尔图的计算和逻辑,一个阴谋集团或什至是非常有钱的人希望使他们的投资获得8倍的回报,这基本上是“仅”需要的在MKR中收集了这80K,然后在一笔交易中创建了一份执行合约,将质押品向自己汇入,对合约进行投票,然后将其激活。
延迟处理延迟
他甚至找到了一种将80K MKR的价格削减一半的方法。他解释说:“每当提议进行管理表决时,MKR股权都会有一段时间从旧的行政合约迁移到新的行政合约。”由于这需要时间,因此不可避免地会出现“将80,000个积极参与的MKR分配给两个执行合约,每个合约中包含大约40,000 MKR”的事实,Zoltu声称可以通过“进行如下交易”来利用这一事实:当MKR在两个合约之间进行最佳分配并在那时执行上述攻击时,它的成本就降到了40,000 MKR(约合2000万美元)。”
Zoltu确实进一步详细介绍了他与Maker基金的对话,并描述了他们对上述声称的漏洞的反应,这些反应实质上是不屑一顾的体操:太昂贵了,他们已经了解了一段时间,社区会在不造成太大损害的情况下就乘风破浪。他认为基金会做出了有目的的治理决定,以保留他们对项目的权力,因此以前拒绝解决该问题。
基金会被迫公开回应Zoltu的主张,并且似乎已经承认袭击的合法性。用他们的话说,确实确实将延迟设置为零,以允许“社区立即采取行动,以减轻技术错误,Oracle故障或市场恐慌或经济袭击等异常情况。”尽管如此,基金会仍按计划进行如果管理机构批准,则将有争议的延迟时间推迟到本周末的整整24小时。
这完全是由于Zoltu的指控,基金会称其为“已获知博客文章,其中详述了一系列事件,这些事件可能导致对治理系统的利用”。社区先前曾考虑过利用该漏洞的可能性,但这不是一个直接的问题。但是,由于上述博客的潜在宣传,利用此漏洞的可能性增加了,”几乎将Coinmonks研究人员的发现归咎于他。如果佐尔图的逻辑成立,则意味着要结清Maker项目的邪恶或其他不良行为者,并在此过程中阻碍以太坊,这要归功于治理模型,使他们有几天的时间来完成两项任务。
。
DYOR:CoinSpice是您存放辛辣加密货币物品的家。我们不隶属于任何加密货币项目或令牌。每篇发表的文章仅供参考,不提供投资建议,也不希望影响投机市场。那里有很多交易网站和针对特定硬币的宣传期刊,但我们都没有。 CoinSpice努力在我们的报告中保持严格的准确性。此处提供的信息通常取决于许多因素,并且生态系统快速移动-价格变化,项目变化且变化迅速。做你自己的研究。
披露:作者将加密货币作为其包括BCH在内的金融资产的一部分。