- Un desarrollador de software ha llamado la atención sobre una «laguna» en el sistema MakerDAO que describe un robo de los 340 millones de Ethereum (ETH) actualmente almacenados en el sistema.
- En respuesta, el equipo de MakerDAO publicó una encuesta sobre el módulo de seguridad de la gobernanza (GSM) en el portal de la gobernanza.
Micah Zoltu, un desarrollador de software y coautor del whitepaper original para el mercado de predicción descentralizado Augur (REP), publicó el lunes un artículo en su blog describiendo un posible ataque al sistema MakerDAO. Como explica Zoltu, los 340 millones de Ethereum (ETH) depositados actualmente en el MakerDAO están en peligro. El hacker ni siquiera requiere muchos conocimientos de programación. En su lugar, sólo se necesita una gran cantidad de MakerDAO (MKR).
En la entrada de su blog «cómo convertir 20 millones de dólares en 340 millones de dólares en 15 segundos», Zoltu explica que la «laguna», como la describe Zoltu, permite a cualquier atacante que tenga alrededor de 40.000 MKR (unos 20 millones de dólares estadounidenses) transferirse a sí mismo todo el Ether (ETH) depositado como garantía en el sistema MakerDAO. Para ello, los atacantes sólo tendrían que utilizar el modelo de gobierno de MakerDAO votando por su propia propuesta, es decir, enviar todos los Ethers a la dirección del atacante, con la cantidad mencionada de MKR.
Para evitar estos ataques, existe un tiempo de retardo («Governance Security Module» – GSM) en el sistema MakerDAO durante el cual la comunidad MakerDAO puede concluir el contrato. Sin embargo, esto está actualmente parametrizado con 0. Como escribe Zoltu, el ataque sólo es posible para unas pocas ballenas de MKR. Sin embargo, los propietarios de grandes cantidades de MKR también podrían unir sus fuerzas para ejecutar el ataque. Según Zoltu, el ataque podría proceder de la siguiente manera:
- Adquirir 80.000 MKR.
- Cree un contrato ejecutivo que está programado para transferir toda la garantía de MakerDAO a usted.
- Votar el contrato inmediatamente (en la misma transacción).
- Active inmediatamente (en la misma operación) el contrato.
- Conduzca con 340 millones de USD ETH hacia el atardecer.
Como escribe Zoltu, con un poco de paciencia y sofisticación, 40.000 MKR podrían ser suficientes para el ataque.
MakerDAO reacciona a la acusación
Poco después de que la entrada del blog ganara gran atención, el equipo de desarrollo de MakerDAO respondió a las acusaciones. Explicaron que el problema era conocido por el equipo y que no se había hecho nada a propósito porque la amenaza no se consideraba real. En respuesta a la entrada del blog de Zoltu, se afirma que el artículo aumenta la posibilidad de que los hackers exploten esta vulnerabilidad.
Desde el lanzamiento del MCD, el retraso se ha fijado en 0. Esto ha permitido a la comunidad tomar medidas inmediatas para mitigar los errores técnicos, las disfunciones del oráculo o los casos atípicos como el pánico en el mercado o un ataque económico. […]
La comunidad había considerado previamente la posibilidad de esta vulnerabilidad, pero no era un problema inmediato. Sin embargo, la probabilidad de este exploit creció debido a la publicidad potencial del blog anterior.
Como resultado, el equipo de MakerDAO reaccionó ayer. Se ha añadido una encuesta al portal de gobernanza para que la comunidad pueda votar sobre el Módulo de Governance Security Module (GSM). Si la propuesta es aceptada, el cambio aumentará el retardo de GSM de 0 a 24 horas. El ataque potencial ya no sería probable en el sentido de que sería posible reaccionar y cerrar el contrato.
El precio del Maker, sin embargo, no está impresionado por los titulares negativos y se mueve lateralmente en línea con la tendencia actual del mercado.
¡Síguenos en Facebook y Twitter y no te pierdas ninguna noticia! ¿le gusta nuestro índice de precios?
