Une vulnérabilité « critique » de MakerDAO pourrait avoir gelé les fonds des électeurs, selon les auditeurs

Selon le cabinet d'audit de sécurité Zeppelin, une vulnérabilité critique sur la plateforme de prêt programmatique MakerDAO aurait pu rendre les fonds des utilisateurs irrécupérables.

Découvert au cours des dernières semaines, MakerDAO a lancé lundi un appel urgent aux détenteurs de jetons de la plateforme MakerDAO, écrivant surReddit:

En partenariat avec Coinbase et Zeppelin, la Maker Foundation a participé à une deuxième série d'audits du contrat de vote Maker . Au cours de ce processus, nous avons constaté la nécessité d'une mise à jour cruciale… Il vous est conseillé de transférer immédiatement vos MKR de l'ancien contrat vers votre portefeuille personnel.

À l'époque, les détenteurs de jetons MKR n'avaient pas été informés de la nature exacte du problème, étant donné que la vulnérabilité pouvait toujours être exploitée par un attaquant si elle était divulguée.

Jeudi, Zeppelin a sortiune Déclaration de transparence complèteExplique comment la vulnérabilité aurait pu déplacer les jetons des utilisateurs et les verrouiller définitivement dans le contrat de vote de MakerDAO. Selon le document, la vulnérabilité a été découverte et analysée entre le 22 et le 26 avril, date à laquelle l'équipe de MakerDAO a été informée, et un contrat fixe a été soumis à un audit le 2 mai.

Un article séparé sur le subreddit MakerDAO a discuté de la vulnérabilité etinformations partagées À propos du nouveau contrat de vote sans compromis. « En raison de l'exploit, le rythme hebdomadaire habituel des sondages de gouvernance et des votes exécutifs a été interrompu, les détenteurs de MKR ayant quitté l'ancien contrat », explique le message.

En prenant du recul, MakerDAO est la principale plateforme de prêt pour le DAI, un stablecoin populaire indexé sur le dollar. MakerDAO est également une plateforme de gouvernance décentralisée grâce à laquelle les détenteurs de jetons MKR ont le pouvoir de voter et d'appliquer les modifications du protocole de prêt DAI .

« Le fonctionnement du système de gouvernance de MakerDAO est le suivant : il existe plusieurs propositions qui sont codées sous forme d'adresses Ethereum et les gens peuvent voter pour ONEune ou l'autre en verrouillant leurs jetons MKR dans le contrat de vote principal », a expliqué le responsable de la recherche chez Zeppelin Alejo Salles à CoinDesk.

En substance, la vulnérabilité révélée par l'équipe Zeppelin a compromis les jetons MKR détenus dans le contrat de vote de MakerDAO. Un attaquant aurait pu hypothétiquement déplacer les jetons stakés en faveur d' une proposition de gouvernance de MakerDAO vers une autre proposition concurrente et les bloquer définitivement.

Salles a souligné à CoinDesk que les jetons MKR ne pouvaient pas être retirés du contrat de vote MakerDAO mais simplement verrouillés et déplacés.

Plus d'audits

Cette vulnérabilité, pour autant que Zeppelin le sache actuellement, n'a T été exploitée sur la plateforme MakerDAO.

Cependant, Salles a noté qu'il avait le potentiel de geler efficacement 100 millions de dollars de jetons MKR détenus dans le contrat de vote MakerDAO d'origine.

« Ce contrat était essentiel au système MakerDAO. Il comportait des privilèges sur de nombreux autres éléments », explique Salles à CoinDesk. « La sécurité est un enjeu crucial dans le secteur des Crypto et, dans ce cas précis, cela a été rendu possible grâce aux fonds disponibles pour effectuer le changement. »

En effet, la Fondation à but non lucratif MakerDAO détient de loin la plus grande part des jetons MKR , avec plus de 25 % du million de jetons en circulation. Compte tenu de la nature extrêmement sensible de la faille de sécurité, la Fondation MakerDAO a utilisé les fonds à sa disposition pour effectuer secrètement un changement d'état à l'insu du grand public.

« Dans un système plus décentralisé, comme le sera MakerDAO dans un avenir NEAR , cela aurait été bien pire », prévient Salles. « Parce qu'il faut coordonner tous ces acteurs sans pour autant trop sensibiliser le public à ce qui se passe. C'est quasiment impossible. »

Le code derrière le contrat de vote MakerDAO fait partie d'une bibliothèque de code plus vaste qui a été entièrement inspectée en 2017 par la société de sécurité Trail of Bits.

Lorsqu'on lui a demandé si Trail of Bits était au courant de la vulnérabilité révélée aujourd'hui, le PDG Dan Guido a affirmé qu'ils n'en étaient pas conscients, mais a ajouté que depuis 2017, « il y a eu de nombreux commits sur ce code spécifique et sur plusieurs de ses dépendances ».

Trail of Bits a terminé ce mois-ci un nouvel audit sur le code très attendu de MakerDAO pour prendre en charge DAI multi-collatéral.Comme Guido l'a dit à CoinDesk:

Lors de notre évaluation du DAI multi-collatéral, nous avons découvert deux failles de sécurité de faible gravité qui ont échappé à toute vérification. La première faille a échappé à toute vérification car l'attaque dépendait du temps écoulé pour se déclencher. La seconde faille, de nature économique, décrivait une stratégie d'attaque visant à exploiter le système en exploitant son comportement normal. Ces failles ont été immédiatement corrigées par MakerDAO.

Vérifications nécessaires

L'audit secondaire du contrat de vote de MakerDAO par Zeppelin a en réalité été commandé par la plateforme d'échange de Cryptomonnaie Coinbase. Coinbase a pour quelque temps nous prévoyons de permettre une interface transparente avec la plateforme de vote MakerDAO pour les détenteurs de jetons MKR .

« Nous avons mené l'audit dans le cadre de notre processus de diligence raisonnable pour soutenir la capacité de vote MakerDAO au sein du produit Coinbase Custody », a déclaré Alan Leung, responsable de la sécurité pour Coinbase Custody.

Leung a expliqué que les clients de Coinbase détenant des jetons MKR n'étaient pas à l'aise avec l'interface directe avec le protocole de vote MakerDAO étant donné qu'ils « ne connaissent T le risque ou que les risques l'emportent sur l'acte de participation ».

Selon Leung, une partie des efforts de Coinbase pour soutenir un audit tiers du code de contact de vote de MakerDAO visait à garantir que les capacités construites sur Coinbase pour s'interfacer avec MakerDAO étaient sécurisées.

« Notre vision est de fournir à nos clients un canal sécurisé pour la participation au réseau et dans le cadre de ce processus, nous avons plongé assez profondément dans le fonctionnement du contrat MakerDAO et dans le fonctionnement du vote », a déclaré Leung à CoinDesk.

La vulnérabilité ayant été révélée et corrigée, Leung a affirmé à CoinDesk que l'intention de lancer la capacité de vote MKR sur Coinbase Custody reste inchangée.

« Nous avons fait nos devoirs pour nous assurer que [notre interface] est le moyen le plus sûr de participer au réseau MakerDAO, car nous mettons notre label derrière l'action », a-t-il déclaré à CoinDesk.

Verrouillageimage via Shutterstock