- Um programador de software chamou a atenção para uma “lacuna” no sistema MakerDAO que descreve um roubo de todos os 340 milhões de etéreo (ETH) actualmente armazenados no sistema.
- Em resposta, a equipe da MakerDAO publicou uma pesquisa sobre o Governance Security Module (GSM) no portal de governança.
Micah Zoltu, um desenvolvedor de software e co-autor do whitepaper original para o mercado de previsão descentralizada Augur (REP) publicou um artigo no seu blog na segunda-feira descrevendo um possível ataque ao sistema MakerDAO. Como Zoltu explica, todos os 340 milhões de Ethereum (ETH) atualmente depositados no MakerDAO estão em perigo. O hacker nem sequer requer muito conhecimento de programação. Em vez disso, apenas uma grande quantidade de MakerDAO (MKR) é necessária.
Em seu blog “como transformar $20M em $340M em 15 segundos” Zoltu explica que a “lacuna”, como Zoltu a descreve, permite que qualquer atacante que tenha cerca de 40.000 MKR (cerca de 20 milhões de dólares americanos) transfira todo o Ether (ETH) depositado como garantia no sistema MakerDAO para si mesmo. Para isso, os atacantes só teriam que usar o modelo de governança de MakerDAO votando em sua própria proposta, ou seja, enviar todos os Ethers para o endereço do atacante, com a quantidade de MKR acima mencionada.
Para evitar tais ataques, há um tempo de atraso (“Governance Security Module” – GSM) no sistema MakerDAO durante o qual a comunidade MakerDAO pode concluir o contrato. No entanto, isso é atualmente parametrizado com 0. Como Zoltu escreve, o ataque só é possível para algumas baleias MKR. No entanto, proprietários de grandes quantidades de MKR também podem unir forças para executar o ataque. De acordo com Zoltu, o ataque poderia proceder da seguinte forma:
- Adquirir 80.000 MKR.
- Crie um contrato executivo que é programado para transferir todas as garantias da MakerDAO para você.
- Vote no contrato imediatamente (na mesma transação).
- Imediatamente (na mesma transação) ativar o contrato.
- Dirija com 340 milhões de USD ETH no pôr-do-sol.
Como escreve Zoltu, com alguma paciência e sofisticação, 40.000 MKR poderia ser suficiente para o ataque.
MakerDAO reage à acusação
Pouco depois que o post do blog ganhou grande atenção, a equipe de desenvolvimento de MakerDAO respondeu às acusações. Eles explicaram que o problema era conhecido pela equipe e que nada tinha sido feito de propósito porque a ameaça não era considerada real. Em resposta ao post do blog do Zoltu, afirma-se que o artigo aumentou a possibilidade de hackers explorarem essa vulnerabilidade.
Desde o lançamento da MCD, o atraso foi fixado em 0. Isso permitiu que a comunidade tomasse medidas imediatas para mitigar erros técnicos, mau funcionamento de oráculos ou casos isolados, como pânico no mercado ou um ataque econômico. […]
A comunidade tinha anteriormente considerado a possibilidade de uma exploração, mas não era um problema imediato. No entanto, a probabilidade dessa exploração cresceu devido à potencial publicidade do blog acima.
Como resultado, a equipe MakerDAO reagiu ontem. Um inquérito foi adicionado ao portal de governança para permitir que a comunidade vote no Governance Security Module (GSM). Se a proposta for aceita, a mudança aumentará o atraso do GSM de 0 para 24 horas. O potencial ataque deixaria de ser possível no sentido de que seria possível reagir e fechar o contrato.
O preço do Maker, no entanto, não é impressionado pelas manchetes negativas e se move lateralmente em linha com a tendência atual do mercado.
Siga-nos no Facebook e Twitter e não perca mais nenhuma notícia quente! Gosta dos nossos índices de preços?
