软件开发人员指出漏洞可以窃取Maker DAO中的所有抵押品

Prerna Sengupta

2019年12月10日，星期二，美国东部时间13:11
修改日期：2019年12月10日星期二，美国东部时间13:11

• 拥有40,000 MKR的任何人都可能窃取Maker DAO中的所有抵押品，包括DAI和SAI。
• 应当为Maker DAO v2启动防护措施，以防止敌对的MKR持有人遇到这种情况，但他们决定不这样做。
• 当前的执行合约有80,000 MKR的本金，做给Maker合约可以想象的任何事情的成本为80,000 MKR或4,100万美元。

独立软件开发人员Micah Zoltu在12月9日发布了一篇博客文章，他说，拥有40,000 MKR的任何人都可能窃取Maker DAO中的所有抵押品，包括DAI和SAI，以及来自Compound，Uniswap和其他公司的大量资产Maker集成系统。

应当为Maker DAO v2启动防护措施，以防止敌对的MKR持有人遇到这种情况，但他们决定不这样做。 Maker DEO可以使DAI正常工作，目前已锁定了约3.4亿美元的ETH。

治理系统具有许多内部功能，这些功能赋予州长大量的自治权，而且过程非常简单-你将MKR放到希望获得对该系统控制权的合约上，并向拥有最大赌注的MKR授予合约。

抵御恶意行为者的防御机制是，在选择每份新的行政合约之后，都将延迟执行任何操作。但是，任何具有足够MKR的人都可以在此延迟期间触发整个系统的全局结算，然后新的执行合约无法执行任何操作。

控制延迟的决定值为0秒。当前的执行合约有80,000 MKR的本金，做给Maker合约可以想象的任何事情的成本为80,000 MKR或4,100万美元。因此，从本质上讲，防御者有0秒的时间来防御有钱但恶意的一方发起的攻击。

米卡·佐尔图（Micah Zoltu）还提供了可能发生的事情的列表，只要攻击者这样做，那就是通过任何可能的方式获取80,000 MKR，并创建执行合约，该合约旨在将MKR的所有抵押品转移给攻击者，并对其进行表决并立即在同一笔交易中激活合约，并可能窃取并逃走价值3.4亿美元的ETH。

此外，他还补充说，在抢劫Maker并将其超越Uniswap并窃取DAI：ETH对中所有可用的ETH流动性的同时，还可以使用DAI造出四千万DAI。

但是，坎普曼对所有这些问题的经济学性提出质疑，并认为问题实际上在于激励模型本身。目前，只有少数人有足够的钱去进行这样的攻击，即使那样，他们也不大可能这样做。

他的解决方案是，MKR持有人的投票权越多，这次攻击的代价就越高。 Maker基金说，鉴于MKR的流动性，这种情况不太可能发生。但是，佐尔图认为，鲸鱼不太可能做某事这一假设并不足够有效，因为人们永远不会知道。

—-

编译者/作者：不详

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。