Una vulnerabilidad crítica de MakerDAO podría haber congelado los fondos de los votantes, según los auditores

Una vulnerabilidad crítica en la plataforma de préstamos programáticos MakerDAO podría haber hecho que los fondos de los usuarios fueran irrecuperables, según la firma de auditoría de seguridad Zeppelin.

Descubierto en las últimas semanas, MakerDAO emitió el lunes un llamado urgente a los poseedores de tokens de la plataforma MakerDAO, escribiendo enReddit:

En colaboración con Coinbase y Zeppelin, la Fundación Maker ha participado en una segunda ronda de auditorías del Contrato de Votación Maker . Durante este proceso, descubrimos la necesidad de realizar una actualización crucial... Se recomienda transferir sus MKR del contrato anterior a su billetera personal inmediatamente.

En ese momento, los poseedores de tokens MKR no fueron informados sobre la naturaleza exacta del problema dado que la vulnerabilidad aún podría ser explotada por un atacante si se divulgaba.

El jueves, Zeppelin lanzóuna Aviso legal completaSe describe cómo la vulnerabilidad podría haber transferido tokens de usuario y bloqueado permanentemente el contrato de votación de MakerDAO. Según el documento, la vulnerabilidad se descubrió y analizó entre el 22 y el 26 de abril, momento en el que se informó al equipo de MakerDAO, y el contrato fijo se sometió a auditoría el 2 de mayo.

Una publicación separada en el subreddit de MakerDAO discutió la vulnerabilidad yinformación compartida Sobre el nuevo contrato de votación sin compromisos. "Debido al exploit, el ritmo semanal habitual de las Encuestas de Gobernanza y las Votaciones Ejecutivas se suspendió mientras los titulares de MKR abandonaban el contrato anterior", explicó la publicación.

MakerDAO es la plataforma de préstamos líder para la popular stablecoin DAI, vinculada al dólar. MakerDAO también es una plataforma de gobernanza descentralizada mediante la cual los poseedores de tokens MKR tienen el poder de votar y ejecutar cambios en el protocolo de préstamos de DAI .

“El funcionamiento del sistema de gobernanza de MakerDAO consiste en que existen varias propuestas codificadas como direcciones de Ethereum y las personas pueden votar por una u otra bloqueando sus tokens MKR en el contrato de votación principal”, explicó el jefe de investigación de Zeppelin, Alejo Salles, a CoinDesk.

En esencia, la vulnerabilidad revelada por el equipo de Zeppelin puso en riesgo los tokens MKR incluidos en el contrato de votación de MakerDAO. Un atacante podría, hipotéticamente, haber transferido los tokens apostados a favor de una propuesta de gobernanza de MakerDAO a otra propuesta competidora, bloqueándolos para siempre.

Salles enfatizó a CoinDesk que los tokens MKR no pudieron retirarse del contrato de votación de MakerDAO sino que simplemente fueron bloqueados y movidos.

Más auditorías

Hasta donde Zeppelin sabe hasta el momento, esta vulnerabilidad no ha sido explotada en la plataforma MakerDAO.

Sin embargo, Salles señaló que tenía el potencial de congelar efectivamente $100 millones en tokens MKR mantenidos en el contrato de votación original de MakerDAO.

“Este contrato era fundamental en el sistema MakerDAO. Tenía privilegios sobre muchas otras cosas”, señala Salles a CoinDesk. “La seguridad es un tema muy delicado en la industria de las Cripto y, en este caso, fue posible porque el equipo de MakerDAO aún cuenta con fondos suficientes para realizar el cambio”.

De hecho, la Fundación MakerDAO, una organización sin fines de lucro, posee, con diferencia, la mayor parte de los tokens MKR , con más del 25 % del suministro total de un millón. Dada la alta sensibilidad de la vulnerabilidad de seguridad, la Fundación MakerDAO utilizó los fondos a su disposición para ejecutar en secreto un cambio de estado sin que el público lo supiera.

“En un sistema más descentralizado, como lo será MakerDAO en el futuro NEAR , esto habría sido mucho peor”, advierte Salles. “Porque hay que coordinar a todas estas personas, pero al mismo tiempo no hay que concienciar demasiado sobre lo que está sucediendo. Eso es prácticamente imposible”.

El código detrás del contrato de votación de MakerDAO es parte de una biblioteca de código más grande que fue completamente inspeccionada en 2017 por la firma de seguridad Trail of Bits.

Cuando se le preguntó si Trail of Bits tenía conocimiento de la vulnerabilidad revelada hoy, el director ejecutivo Dan Guido afirmó que no, pero agregó que desde 2017 "ha habido muchas confirmaciones de ese código específico y de muchas de sus dependencias".

Este mes, Trail of Bits completó una nueva auditoría sobre el muy esperado código MakerDAO para respaldar DAI multicolateral.Como Guido le dijo a CoinDesk:

Durante nuestra evaluación de DAI multicolateral, descubrimos dos problemas de seguridad de baja gravedad que no se pudieron identificar mediante verificación. El primero se escapó debido a que el ataque dependía del paso del tiempo para ejecutarse. El segundo problema era de naturaleza económica y describía una estrategia de ataque para abusar del sistema basándose en su comportamiento correcto. MakerDAO solucionó estos problemas de inmediato.

Debida diligencia

La auditoría secundaria del contrato de votación de MakerDAO por parte de Zeppelin fue contratada por la plataforma de intercambio de Criptomonedas Coinbase. Coinbase tiene... a veces Se ha estado planeando habilitar una interfaz perfecta con la plataforma de votación MakerDAO para los poseedores de tokens MKR .

“Encabezamos la auditoría como parte de nuestro proceso de diligencia debida para respaldar la capacidad de votación de MakerDAO dentro del producto Coinbase Custody”, dijo Alan Leung, jefe de seguridad de Coinbase Custody.

Leung explicó que los clientes de Coinbase que poseen tokens MKR no se sienten cómodos interactuando directamente con el protocolo de votación de MakerDAO porque "no conocen el riesgo o los riesgos superan el acto de participar".

Según Leung, parte de los esfuerzos de Coinbase para respaldar una auditoría de terceros del código de contacto de votación de MakerDAO fue garantizar que las capacidades que se estaban desarrollando en Coinbase para interactuar con MakerDAO fueran seguras.

"Nuestra visión es brindarles a nuestros clientes un canal seguro para participar en la red y, como parte de este proceso, profundizamos bastante en cómo funciona el contrato de MakerDAO y cómo funciona la votación", dijo Leung a CoinDesk.

Una vez revelada y abordada la vulnerabilidad, Leung afirmó a CoinDesk que la intención de lanzar la capacidad de votación de MKR en Coinbase Custody permanece sin cambios.

"Hemos hecho nuestra tarea para asegurarnos de que [nuestra interfaz] sea la forma más segura de participar en la red MakerDAO porque estamos poniendo nuestra etiqueta detrás de la acción", dijo a CoinDesk.

Cerrarimagen vía Shutterstock