【币范·翻译】DeFi 项目有潜在的漏洞： MakerDAO 中所有以太坊存在被盗风险

如果有办法清空maker协议中的所有以太坊呢？

这些加密货币的总市值约为3亿美元，规模巨大。即使这将导致价格下降一半甚至三分之二，在制造商协议中清空以太坊仍然是值得的。

Micah zoltu是一位独立软件开发人员，也是最早的分散预测市场8月白皮书的合著者，他在周一发表的一篇博文中描述了对makerdao的攻击，认为这可能会挖空系统中的所有eth（用户将eth锁定在maker协议中，以生成与美元）。

佐尔图写道，问题在于如何治理创客：“一些富豪可以控制系统的行为。”

只有少数巨鲸想迅速行动，这种攻击是可行的。佐尔图说，只有40000 MKR足以使袭击复杂化。在本文撰写之际，使用48400mkr，可以根据制造商投票系统的抵押机制立即完成攻击。（注：巨鲸账户是指头寸较大的账户。一般来说，账户的交易行为会影响市场交易价格。根据区块链调查机构ChainAnalysis的定义，巨鲸账户是指500强钱包账户的持有人）

因此，发动攻击需要价值2000万至2500万美元的加密货币。不可能假设一个人积累的MKR不会推高其价格。

“值得一提的是，制造商基金会现在可以通过这种方式攻击系统，如果他们想要的话。”。更糟糕的是，风险投资公司a16z现在有足够的市场占有率发动攻击！”

除了大量参与以太坊重量级defi项目的投资者外，筹集足够的MKR发动攻击并不容易。

风险投资公司Pantera capital合伙人乔伊?克鲁格（Joey Krug）在一次关于脆弱性的简报后表示：“我认为，这至少会使价格翻一番。”。如果你愿意支付双倍市价，在场外交易市场上可能会有很多大客户卖给你。”

但克鲁格表示，在公开市场上，这一价格将“疯狂，将是当前价格的几倍”。

但前提是攻击者从零MKR开始。让我们先看看佐尔图描述攻击的情况，然后看看基金会的反对意见。

如何操作

maker协议由MKR令牌管理。

目前，总共约有100万MKR，其中一些已被摧毁。制造商基金会仍然控制着数十万美元，无论是在其财政部还是在其托管的智能合同中。

截至本文撰写时，MKR的价格约为510美元。日成交量波动较大，最新日成交量约为400-1000万MKR。

任何MKR持有者都可以提出一个方案，作为协议的智能合约，该方案可以改变任意数量的参数。Maker采用连续性治理，可以随时投票决定条款的变更。

这在目前尤为重要，因为该系统刚刚经历了一次重大升级，以实现多抵押品Dai和Dai存款利率。此新升级是协议的新版本，因此现在有两种类型的Dai，用户需要将其旧类型的Dai（现在称为SAI）转换为新类型。

对新制度进行了一些重要的安全修改，如推迟了投票表决所需的时间，以及对紧急关闭制度的规定。

zoltu中提到的攻击可以实现，因为系统最大的弱点之一，即当前治理延迟的参数为零秒。也就是说，任何通过表决的治理条款都将立即生效。

制造商基金会的工程总监Worter kampmann说，MakDaO社区已经详细讨论了这一点。他们决定，目前最好是零延迟，并决定哪些类型的更改应该能够绕过延迟，哪些类型的更改应该仍然具有延迟。

坎普曼说：“找到问题非常重要。

不过，佐尔图认为，只要存在，锁定在马克道的基金“并非绝对安全”。

在与coindesk的对话中，campman说，这并不是说目前在makerdao中作为抵押品的所有eth都可以直接转移到攻击者控制的钱包中。

“不需要允许和不可阻止的代码的工作方式是，特定的业务逻辑决定了与合同交互的规则，而这些规则是不可变的，”kampmann说。

佐尔图承认，这需要智慧和计划，但在这一点上，读者谁记得刀黑客可能正在经历熟悉的恐惧，虽然他们可能有不同的容忍威胁。

佐尔图所描述的攻击类型已经没有多少时间了。坎普曼预计，1月份治理延误将大幅增加。

但重要的是要注意，这项决定并不取决于他或基金会的工作人员。

另一方面

坎普曼说：“你不能忽视它的经济模式，这种经济模式的问题是激励模式。

有一小部分巨鲸拥有足够的MKR来执行这次攻击，但他们基本上不可能这样做。这将对以太坊产生影响。如果他们持有如此多的mkr，他们在其他资产上的损失可能超过偷窃eth的收益（eth的价值也可能下降）。

坎普曼认为，最重要的是，那些担心保护协议安全的MKR持有人可以在投票时抵押他们的MKR。抵押品越多，攻击成本就越高，还有许多MKR尚未抵押。

熟悉加密货币投资者的克鲁格承认，MKR-whales可能是出于善意，但他表示，“我们也不确定这一点。”。

然而，有16000多个eth地址保存MKR。如果一群小鲸鱼可以毫无预兆地与makerdao社区勾结，它们或许能够获得足够的代币，而不会造成价格波动。

根据制造商基金会，这不可能是基于对MKR流动性的理解。换言之，MKR没有这么大的交易量。

但佐尔图坚称，这还不够安全。”他们的[创建者基金会]运作的假设是没有黑暗的流动资金提供给攻击者，“他说。根据定义，这是人们不知道的。

—-

编译者/作者：币范

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。