Dev標記的重大漏洞可能導致3.4億美元的盜竊，並竊取了MakerDAO的所有ETH

• 攻擊將需要一些MKR鯨魚或許多次要MKR地址的工作。
• 此類攻擊的成本約為2000萬美元，甚至更多。

Maker協議目前持有3億美元的ETH，但它是否像投資者所相信的那樣安全？ Augur原始白皮書的開發者和合著者Micah Zoltu最近發表了一篇帖子，指出MakerDAO存在很大的漏洞。他在博客中指出，此漏洞可能會受到攻擊，從而從MakerDAO系統中提取所有的ETH。

通常，用戶會將ETH鎖定在Maker協議中，從而使他們能夠創建涉及DAI穩定幣（與美元掛鉤）的貸款。但是，佐爾圖指出，製造商的管理方式會產生問題，並指出：「一些富豪可以控制系統的行為。」

發生攻擊的唯一方法是，如果一些MKR鯨魚決定採取快速行動，儘管複雜的攻擊僅需40,000 MKR。根據目前為Maker實施的投票系統和質押方法，使用48,400 MKR可使攻擊立即發生。從本質上講，要想實現這一目標，至少需要2,000萬美元的加密貨幣，前提是這種購買的價格不會上漲，而這種可能性不大。佐爾圖繼續寫道

「 Maker基金如果願意的話，現在就不能以這種方式攻擊系統，這毫無價值。更糟糕的是，（風險投資公司）a16z現在有足夠的MKR可以耐心地執行攻擊」

除了希望看到DeFi應用程序蓬勃發展的個人從事內部工作的可能性之外，實際上獲得這種攻擊所需的所有MKR的能力可能是最大的挑戰。 Pantera Capital的合伙人喬伊·克魯格（Joey Krug）已意識到此漏洞，他說：

「我覺得它的價格至少要高出一倍。如果您要支付雙重市場，您可能會得到很多鯨魚要賣給您的場外交易。」

在公開市場上，如果攻擊者必須從第一個方格開始，則價格將成倍飆升。

就目前而言，MKR令牌支配Maker協議。一百萬的薄荷糖已經被燒掉了，但是Maker基金仍然掌控著數十萬的資金和智能合約。在撰寫本文時，單個MKR的售價為499.16美元，每天處理的營業額約為400萬至1000萬美元。

通過持有MKR，任何投資者都可以簽定智能合約，儘管Maker使用持續治理可以隨時進行更改。該系統剛剛從單質押DAI升級到了多質押DAI，這意味著該協議可以使用一個全新的版本。現在，有兩種DAI，用戶被迫將其舊的DAI轉換為當前的DAI。

儘管存在新的安全性更改，例如延遲投票表決的更改生效，但Zoltu指出最大的弱點是沒有治理延遲。這意味著，任何經過表決和批准的條款都將立即生效，工程主管Wouter Kampmann認為，現在最好這樣做。坎普曼補充說：「這實際上是在那找到最甜蜜的地方。」

坎普曼在與CoinDesk交談時表示，MakerDAO持有的所有ETH都不會被轉移到攻擊者可以控制的錢包中。相反，坎普曼說，

「未經許可，不可阻擋的代碼的工作方式是，存在確定確定如何與合約進行交互的規則的某些業務邏輯，而這些規則是不可更改的。」

這種攻擊需要大量的情報和計劃，但是任何想起DAO黑客的人都可能有點緊張。佐爾圖（Zoltu）的攻擊理論將需要迅速發生，因為治理延遲可能會在第一季度（可能最早在一月份）增加。但是，這個決定實際上並不取決於基金會人員。坎普曼說，

「您不能僅僅忽略它的經濟性。所提出的模型確實存在激勵模型中的問題。」

目前，有幾條鯨魚已經增持了足夠的MKR來以這種方式進行攻擊，但是不太可能。這次攻擊最終將導致其在其他資產中的價值損失，從而動搖以太坊，使他們付出的代價遠遠超過獲得的價值。坎普曼（Kampmann）指出，如果MKR持有人關心協議的安全性，則應該對其票進行質押。另外，還有很多MKR處於觀望狀態。克魯格補充說，儘管MKR鯨可能有良好的意圖，但是「肯定地假設」是不明智的。

這種攻擊的另一種選擇是需要許多小鯨魚之間的大規模協作，這些小鯨魚佔了大約16,000個ETH地址。如果他們在不引爆MakerDAO社區的情況下合併部隊，則有可能在收集足夠的代幣的同時避免價格波動。考慮到MKR的進展不大，這種合作根本不可能，但是Zoltu並不認為所有這些假設都能使該協議足夠安全。 Zoltu添加了，

「他們（製造商基金會）的運作是在假設攻擊者沒有可用的流動資金黑礦池的前提下。從定義上來說，這是人們所不知道的。」

正如The Next Web的硬分叉指出的那樣，MakerDAO最近表示，十月份還有另一個主要的安全漏洞，允許在DAI升級發布之前盜竊以太坊。