Dev标记的重大漏洞可能导致3.4亿美元的盗窃，并窃取了MakerDAO的所有ETH

• 攻击将需要一些MKR鲸鱼或许多次要MKR地址的工作。
• 此类攻击的成本约为2000万美元，甚至更多。

Maker协议目前持有3亿美元的ETH，但它是否像投资者所相信的那样安全？ Augur原始白皮书的开发者和合著者Micah Zoltu最近发表了一篇帖子，指出MakerDAO存在很大的漏洞。他在博客中指出，此漏洞可能会受到攻击，从而从MakerDAO系统中提取所有的ETH。

通常，用户会将ETH锁定在Maker协议中，从而使他们能够创建涉及DAI稳定币（与美元挂钩）的贷款。但是，佐尔图指出，MKR的管理方式会产生问题，并指出：“一些富豪可以控制系统的行为。”

发生攻击的唯一方法是，如果一些MKR鲸鱼决定采取快速行动，尽管复杂的攻击仅需40,000 MKR。根据目前为Maker实施的投票系统和抵押方法，使用48,400 MKR可使攻击立即发生。从本质上讲，要想实现这一目标，至少需要2,000万美元的加密货币，前提是这种购买的价格不会上涨，而这种可能性不大。佐尔图继续写道

“ Maker基金如果愿意的话，现在就不能以这种方式攻击系统，这毫无价值。更糟糕的是，（风险投资公司）a16z现在有足够的MKR可以耐心地执行攻击”

除了希望看到DeFi应用程序蓬勃发展的个人从事内部工作的可能性之外，实际上获得这种攻击所需的所有MKR的能力可能是最大的挑战。 Pantera Capital的合伙人乔伊·克鲁格（Joey Krug）已意识到此漏洞，他说：

“我觉得它的价格至少要高出一倍。如果你要支付双重市场，你可能会得到很多鲸鱼要卖给你的场外交易。”

在公开市场上，如果攻击者必须从第一个方格开始，则价格将成倍飙升。

就目前而言，MKR令牌支配Maker协议。一百万的薄荷糖已经被烧掉了，但是Maker基金仍然掌控着数十万的资金和智能合约。在撰写本文时，单个MKR的售价为499.16美元，每天处理的营业额约为400万至1000万美元。

通过持有MKR，任何投资者都可以签定智能合约，尽管Maker使用持续治理可以随时进行更改。该系统刚刚从单抵押DAI升级到了多抵押DAI，这意味着该协议可以使用一个全新的版本。现在，有两种DAI，用户被迫将其旧的DAI转换为当前的DAI。

尽管存在新的安全性更改，例如延迟投票表决的更改生效，但Zoltu指出最大的弱点是没有治理延迟。这意味着，任何经过表决和批准的条款都将立即生效，工程主管Wouter Kampmann认为，现在最好这样做。坎普曼补充说：“这实际上是在那找到最甜蜜的地方。”

坎普曼在与CoinDesk交谈时表示，MakerDAO持有的所有ETH都不会被转移到攻击者可以控制的钱包中。相反，坎普曼说，

“未经许可，不可阻挡的代码的工作方式是，存在确定确定如何与合约进行交互的规则的某些业务逻辑，而这些规则是不可更改的。”

这种攻击需要大量的情报和计划，但是任何想起DAO黑客的人都可能有点紧张。佐尔图（Zoltu）的攻击理论将需要迅速发生，因为治理延迟可能会在第一季度（可能最早在一月份）增加。但是，这个决定实际上并不取决于基金会人员。坎普曼说，

“你不能仅仅忽略它的经济性。所提出的模型确实存在激励模型中的问题。”

目前，有几条鲸鱼已经增持了足够的MKR来以这种方式进行攻击，但是不太可能。这次攻击最终将导致其在其他资产中的价值损失，从而动摇以太坊，使他们付出的代价远远超过获得的价值。坎普曼（Kampmann）指出，如果MKR持有人关心协议的安全性，则应该对其票进行抵押。另外，还有很多MKR处于观望状态。克鲁格补充说，尽管MKR鲸可能有良好的意图，但是“肯定地假设”是不明智的。

这种攻击的另一种选择是需要许多小鲸鱼之间的大规模协作，这些小鲸鱼占了大约16,000个ETH地址。如果他们在不引爆MakerDAO社区的情况下合并部队，则有可能在收集足够的代币的同时避免价格波动。考虑到MKR的进展不大，这种合作根本不可能，但是Zoltu并不认为所有这些假设都能使该协议足够安全。 Zoltu添加了，

“他们（MKR基金会）的运作是在假设攻击者没有可用的流动资金黑池的前提下。从定义上来说，这是人们所不知道的。”

正如The Next Web的硬分叉指出的那样，MakerDAO最近表示，十月份还有另一个主要的安全漏洞，允许在DAI升级发布之前盗窃以太坊。

—-

编译者/作者：不详

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。