分析師稱,價值340,000,000美元的以太坊鎖定的ETH可能在幾秒鐘內被盜
TL; DR:最近,一位分析師在Maker Dao治理中發現了一個可利用的怪癖,發生在版本升級之間。研究人員米卡·佐爾圖(Micah Zoltu)聲稱,購買價值2,000萬美元的代幣製造商(MKR)的鯨魚或進取集團可以在Maker DAO中有效地解鎖所有質押品(ETH)(約3.4億美元)……數秒之內就可以清除整個項目,並進行遊刃有餘以太坊的完整性
價值340,000,000美元的ETH可能在幾秒鐘內被盜
非營利性加密貨幣教育組織Coinmonks的研究人員佐爾圖堅稱:「自從Maker v2推出之前,Maker就已經意識到了這個問題。儘管如此,他們還是選擇不堵塞孔(堵塞很容易)。因此,我不認為閉嘴並不對我負責,也不希望任何攻擊者都能弄清楚對Maker治理模式了解的人應該明白的事情。」
Maker是在以太坊上的智能合約迭代。它的設計是有效地支持並保持穩定的DAI(穩定幣)。顯然,這是通過質押債務頭寸(CDP)實現的:MKR代幣是根據DAI價格鑄造或燒掉的,著眼於美元平價。這是一個充滿異國情調的以太坊項目,因此以太坊在概念上被加密貨幣分析師密切關注,尤其是其治理系統。
MKR愛好者「應該嚇到的是,這不是#DeFi,而是#CeFi,而不是只有一個人可以竊取您的所有錢(銀行),銀行或許多大型個人中的任何一個股東或一群小股東可以決定隨時竊取您的全部資金。」佐爾圖強調。
一筆交易
佐爾圖發現Maker的最新版本2「應該以安全措施(緊急關閉和治理延遲)啟動,以防止敵對的MKR持有者竊取所有質押品,並可能在此過程中搶劫大部分Uniswap,Compound和與Maker集成的其他系統。取而代之的是,他們決定不這樣做。
領導者下注系統通過州長使用:MKR被下注到系統上所需的合約。質押最大的收益控制。 Zoltu繼續說道:「自當前執行合約以來,大約有80,000 MKR的股份,對您想要與Maker合約做任何事情的天真成本約為80,000 MKR,或約4,100萬美元。」攻擊開始時,合約可以執行給定功能之前存在內置延遲。佐爾圖認為,這種延遲是一切都可能出錯的地方。
他進一步解釋說:「問題是,Maker基金決定此治理延遲的適當值為0秒。是的,防禦者有0秒的時間來抵禦一個富有但惡意的政黨發動的攻擊。」根據佐爾圖的計算和邏輯,一個陰謀集團或什至是非常有錢的人希望使他們的投資獲得8倍的回報,這基本上是「僅」需要的在MKR中收集了這80K,然後在一筆交易中創建了一份執行合約,將質押品向自己匯入,對合約進行投票,然後將其激活。
延遲處理延遲
他甚至找到了一種將80K MKR的價格削減一半的方法。他解釋說:「每當提議進行管理表決時,MKR股權都會有一段時間從舊的行政合約遷移到新的行政合約。」由於這需要時間,因此不可避免地會出現「將80,000個積极參与的MKR分配給兩個執行合約,每個合約中包含大約40,000 MKR」的事實,Zoltu聲稱可以通過「進行如下交易」來利用這一事實:當MKR在兩個合約之間進行最佳分配並在那時執行上述攻擊時,它的成本就降到了40,000 MKR(約合2000萬美元)。」
Zoltu確實進一步詳細介紹了他與Maker基金的對話,並描述了他們對上述聲稱的漏洞的反應,這些反應實質上是不屑一顧的體操:太昂貴了,他們已經了解了一段時間,社區會在不造成太大損害的情況下就乘風破浪。他認為基金會做出了有目的的治理決定,以保留他們對項目的權力,因此以前拒絕解決該問題。
基金會被迫公開回應Zoltu的主張,並且似乎已經承認襲擊的合法性。用他們的話說,確實確實將延遲設置為零,以允許「社區立即採取行動,以減輕技術錯誤,Oracle故障或市場恐慌或經濟襲擊等異常情況。」儘管如此,基金會仍按計划進行如果管理機構批准,則將有爭議的延遲時間推遲到本周末的整整24小時。
這完全是由於Zoltu的指控,基金會稱其為「已獲知博客文章,其中詳述了一系列事件,這些事件可能導致對治理系統的利用」。社區先前曾考慮過利用該漏洞的可能性,但這不是一個直接的問題。但是,由於上述博客的潛在宣傳,利用此漏洞的可能性增加了,」幾乎將Coinmonks研究人員的發現歸咎於他。如果佐爾圖的邏輯成立,則意味著要結清Maker項目的邪惡或其他不良行為者,並在此過程中阻礙以太坊,這要歸功於治理模型,使他們有幾天的時間來完成兩項任務。
。
DYOR:CoinSpice是您存放辛辣加密貨幣物品的家。我們不隸屬於任何加密貨幣項目或令牌。每篇發表的文章僅供參考,不提供投資建議,也不希望影響投機市場。那裡有很多交易網站和針對特定硬幣的宣傳期刊,但我們都沒有。 CoinSpice努力在我們的報告中保持嚴格的準確性。此處提供的信息通常取決於許多因素,並且生態系統快速移動-價格變化,項目變化且變化迅速。做你自己的研究。
披露:作者將加密貨幣作為其包括BCH在內的金融資產的一部分。