LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 行情分析 > Maker DAO有一个严重缺陷,可能会导致盗窃3.4亿美元的以太坊(ETH)和数十亿美元

Maker DAO有一个严重缺陷,可能会导致盗窃3.4亿美元的以太坊(ETH)和数十亿美元

2019-12-12 不详 来源:区块链网络

Augur白皮书的合著者Micah Zoltu公开宣布,直到12月9日,Maker DAO都具有潜在的灾难性安全漏洞,可能导致Maker DAO智能合约盗窃了3.4亿美元的以太坊(ETH)。现在,MKR基金会已修复了此严重漏洞,并且似乎将矛头指向了Zoltu,以公开发布有关此安全漏洞的信息,即使Zoltu可能已避免了灾难。在本文中,我们将深入探讨此安全漏洞及其修补程序。

Maker去中心化自治组织(DAO)是一种基于去中心化区块链的治理协议,并且是去中心化金融(DeFi)部门的骨干。 Maker DAO本身是通过收集加密货币抵押品进行放款的顶级平台。具体来说,用户可以以Dai稳定币的形式获得贷款,用于存放以太坊(ETH)作为抵押。

迄今为止的问题是,拥有足够的Maker(MKR)的任何人都可以投票支持新的管理协议,并立即使该新的管理协议生效。攻击者可以从字面上制定一种治理协议,该协议擦除整个Maker DAO系统,然后将Maker DAO智能合约中持有的所有以太坊(ETH)转移到他们自己的钱包中。

应该存在一个治理延迟,该延迟将新治理协议的实施延迟一定时间。但是,此治理延迟已设置为零,以促进治理的即时更改。

当前的Maker DAO治理协议有大约80,000 Maker(MKR);因此,只需80,000 Maker(MKR)即可投票赞成新的治理协议。此外,当治理协议更改时,Maker(MKR)从旧治理协议到新治理协议的迁移会很慢,并且在某些时候,旧治理协议和新治理协议各自拥有40,000 Maker(MKR)权益。因此,使用监视从旧管理协议到新管理协议的资金转移的脚本,可以对40,000 Maker(MKR)进行此攻击。

如果使用80,000 Maker(MKR)立即执行此攻击,则损失为4000万美元。如果对40,000 Maker(MKR)进行攻击的速度较慢,则损失为2000万美元。

尽管进行攻击的成本听起来很多,但在加密货币世界中却相对较小。实际上,有四个钱包足以进行攻击,其中包括Maker基金,对冲基金a16z和两个未知的钱包。

此外,佐尔图(Zoltu)还描述了如何在人们存入Maker(MKR)之前达到以太坊(ETH)智能合约,直到达到40,000 Maker(MKR)级别为止,此时Maker DAO智能合约被清空,参与者分红。从本质上讲,这种攻击很容易众包。

攻击对于攻击者而言将是非常有利润的,对加密货币空间而言将是灾难性的。只需花费20-40百万美元,攻击者就可以立即从MakerDAO智能合约中消耗3.4亿美元的以太坊(ETH)。然后,攻击者可以根据需要打印尽可能多的Dai,并从Uniswap的Dai / Ethereum(ETH)交易对上窃取所有流动资金,并将所有抵押品从Compound中抽出。其他有风险的去中心化交易所将是IDEX,Paradex和RadarRelay。

此外,Dai and Maker(MKR)的价值将跌至零,立即从加密货币市值中蒸发掉5.5亿美元。以太坊(ETH)的价格也可能会下跌,以应对DeFi的这种严重失败,这很容易造成数十亿美元的损失。

幸运的是,对于这种情况,Maker DAO及其周围的生态系统将永远不会发生,因为Zoltu上任后,Maker基金实施了24小时的治理延迟。这意味着Maker DAO社区将有24小时制止此类攻击。

Maker DAO说他们很早就意识到了这个问题,实际上Zoltu在他的博客文章中说,他多次就此问题与Maker DAO联系。根据佐尔图(Zoltu)的说法,MKR基金会(Maker基金)表示,他们不希望造成治理延迟,因为到目前为止,这种类型的黑客攻击还不是问题。他们还说,除少数人之外,任何人执行此命令的成本都很高,他们将对攻击者采取法律行动。攻击者很难以匿名方式进行此攻击,并且这是已知的风险,但可能还有其他更未知的风险。

Maker DAO似乎“责备” Zoltu上市,这迫使他们实施了24小时治理延迟。 Maker DAO表示,由于缺乏治理延迟,因此社区可以立即采取行动来纠正技术错误,Oracle故障,市场恐慌或经济攻击。

无论如何,已经修补了可能导致类似本文中描述的攻击的漏洞,并且整个DeFi系统更加安全。话虽这么说,Maker DAO并不是唯一的DAO,其他基于区块链的DAO应该确保它们不容易受到这种攻击。

Maker DAO帖子中有一个严重缺陷,可能会导致盗窃3.4亿美元的以太坊(ETH)和数十亿美元的额外损失,在漏洞公开后,Maker基金勉强地修补了此安全缺陷,首次出现在0XZX.COM上。你可以信任的内部专家提供的比特币和投资新闻

—-

编译者/作者:不详

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...