LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 行情分析 > 开发人员发现一个价值3亿美金的天价漏洞——Maker 协议持有的ETH有可能被清空

开发人员发现一个价值3亿美金的天价漏洞——Maker 协议持有的ETH有可能被清空

2019-12-11 爱莉莎 来源:区块链网络


如果有一种方法,可以清空Maker协议持有的所有的ETH,这该怎么办?

Maker协议持有价值3亿美元的加密货币,是个天文数字。即使攻击引发价格暴跌,比如下跌了一半甚至三分之二,仍然还有几千万美元,攻击者值得尝试。

独立软件开发人员Micah Zoltu,同时也是去中心化预测市场Augur 原始白皮书的合著者,在周一发表了一篇博文,描述了对MakerDAO 的攻击,他认为攻击可能会清空MakerDAO持有的所有ETH。(注:用户将 ETH 锁定在Maker协议中,以产生与美元挂钩的DAI稳定币的贷款。)

Zoltu写道,问题在于Maker的管理方式

“一些富豪可以控制系统的行为。”

只有少数的MKR鲸鱼(指大户)迅速采取行动,这种攻击才可行。Zoltu说

**如果攻击具有一定技巧,则只需 40,000 MKR即可完成 。

在笔者写本文时,基于Maker投票系统的投票方法,需要48,400 MKR才能完成。

因此,需要部署2000万美元~2500万美元之间的加密货币。这是假设一个人能以不推高价格的方式积累MKR,当然这是不太可能的。

“值得注意的是,如果他们愿意,可以立即以这种方式攻击系统,”

Zoltu写道。“更糟糕的是,[风险投资公司] a16z 现在就有足够多的MKR,可以耐心地执行攻击!”

让我们看看Zoltu所描述的攻击,然后听听 Maker 基金会的反对意见。

工作原理

Maker协议受MKR通证支配。目前,已经发行了一百万MKR,其中一小部分已被销毁。Maker基金会仍然控制着数十万笔资金,在其资金库,或者托管的智能合约中。

写本文时,一个MKR的售价约为510美元。起日营业额波动很大,最近,MKR的日营业额约为400万~1000万美元。

持有MKR的任何人,都可以提出一个方案作为协议的智能合约,该合约可以更改任意数量的参数。Maker使用持续治理,以便可以随时对条款进行投票表决,以对其进行更改

这一点尤为重要,因为该系统刚刚进行了重大升级,实现了多抵押品DAI和DAI储蓄率。这个新的升级是该协议的一个全新版本,因此实际上现在有两种DAI,并且要求用户将旧的DAI(现在称为SAI)转换为新的DAI。

新系统进行了一些重要的安全性更改,例如推迟投票通过的更改生效所需的时间,以及紧急关闭条款。

Zoltu提到的:

允许进行攻击的致命的弱点是,治理延迟的当前参数为零秒。也就是说,任何获得投票通过的治理规定,都将立即生效(天呐撸!)

Maker基金会的工程负责人Wouter Kampmann表示,MakerDAO社区对此进行了详细讨论,该社区决定现在最好是零延迟,同时确定哪些类型的更改应能够绕过该延迟,哪些应该仍然有延迟
Kampmann说:

“这真是一个找到那个最佳地点的问题。“

而Zoltu则认为,只要到位,锁定在MakerDAO上的资金就是“”not safu”。

Kampmann与CoinDesk的电话中说:

这并不是说MakerDAO当前持有的所有以太坊,可以被直接转移到由攻击者控制的钱包中那样简单
Kampmann说:
“未经许可的、不可阻挡的代码的工作方式是,存在某些业务逻辑来确定如何与合同进行交互——而这些规则是不可更改的”。

Zoltu承认攻击需要智慧和计划,同时,攻击需要非常迅速(才能得逞)。Kampmann预计,第一季度某个时间(可能在2020年一月份)的治理延迟可能会增加。

值得注意的是,这一决定并不取决于他或基金会工作人员。

另一方面

Kampmann说:

“你不能忽视它的经济性。……问题实际在于激励模式。”

少数大户现在拥有足够多的MKR来执行此攻击,但他们不可能这样做。这将在以太坊上引发地震,如果他们持有那么多的MKR,他们可能会损失资产,这比窃取ETH所获得的收益还要多得多(ETH的价值也会随之下降)。

Kampmann说,关心协议安全的MKR持有人,能够做的最好的事情就是——用他们的MKR投票。投入的资金越多,这种攻击的代价就越高,而目前还有很多的MKR处于观望状态

然而,目前持有MKR的地址超过16,000个。如果一堆中小户能在不惊动MakerDAO社区的情况下串通一气,它们也许能够聚集足够多的MKR,而不会引起价格波动。

Maker 基金会表示,根据对MKR流动性的了解,这不太可能发生。

但是Zoltu坚持认为这还不够安全。他说:

“他们(Maker 基金会)的运作是在假设攻击者没有可用的流动资金暗池。但这是人们都不知道的事

后续如何,我们拭目以待!


原文链接:https://www.coindesk.com/developer-flags-big-money-loophole-for-stealing-all-the-eth-in-makerdao



系列课程1《爱莉莎科普区块链》75课 !点击!

系列课程2《一起开发 EOS DAPP系列》 点击!
系列课程3《区块链工具百宝箱》 点击!

微信公众号:竹三七










—-

编译者/作者:爱莉莎

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...