Un développeur signale une faille financière importante pour voler tous les ETH de MakerDAO

Et s'il existait un moyen de vider tout l' ETH détenu par le protocole Maker ?

Cela représente 300 millions de dollars de Crypto à l'heure actuelle. C'est une somme colossale. Même si cela faisait chuter le prix de moitié, voire des deux tiers, le jeu en vaut la chandelle.

Micah Zoltu, un développeur de logiciels indépendant qui est également ONEun des co-auteurs dulivre blanc originalpour le marché de prédiction décentralisé Augur, a publié un article de blog lundidécrivant une attaque surMakerDAO cela, a-t-il soutenu, pourrait vider tout l' ETH du système. (Utilisateurs verrouillage ETH dans le protocole Maker pour générer des prêts du stablecoin DAI indexé sur le dollar.)

Le problème, écrit Zoltu, réside dans la manière dont Maker est gouverné : « Un groupe de ploutocrates peut contrôler le comportement du système. »

L'attaque ne serait réalisable que pour quelques baleines MKR si elles voulaient agir rapidement. Zoltu a déclaré que 40 000 MKR seraient suffisants si l'attaque était suffisamment sophistiquée. À l'heure actuelle, 48 400 MKR, basés sur le principe de jalonnement du système de vote Maker , pourraient suffire immédiatement.

Il faudrait donc déployer entre 20 et 25 millions de dollars en Crypto pour y parvenir. Cela suppose qu'une personne puisse accumuler des MKR T faire grimper le prix, ce qui est peu probable.

« Il est important de noter que la Maker Foundation pourrait attaquer le système de cette manière dès maintenant si elle le souhaitait », écrit Zoltu. « Pire encore, [la société de capital-risque] a16z dispose actuellement de suffisamment de MKR pour mener l'attaque avec patience ! »

Outre un travail interne des parties les plus investies dans la survie de l'application phare de la Finance décentralisée (DeFi) d'Ethereum, accumuler suffisamment de MKR pour mener à bien l'attaque peut constituer un obstacle important.

« J'ai l'impression que cela doublerait au moins le prix », a déclaré Joey Krug, associé chez Pantera Capital, informé de la vulnérabilité. « Vous pourriez probablement attirer de nombreuses baleines à vous vendre de gré à gré si vous payiez le double du prix du marché. »

Sur le marché libre, le prix « deviendrait fou, plusieurs fois supérieur à ce qu'il est actuellement », a déclaré Krug.

Cela ne concerne que si l'attaquant devait repartir de zéro MKR. Commençons donc par l'attaque décrite par Zoltu, puis revenons aux objections de la Fondation.

Comment ça marche

Le protocole Maker est régi par le jeton MKR .

Un million de MKR a été émis, une petite partie a été brûlée. La Fondation Maker en contrôle encore plusieurs centaines de milliers, à la fois dans sa trésorerie et dans des contrats intelligents qui les maintiennent en dépôt.

Un MKR se vend environ 510 $ au moment de la rédaction de cet article. Le chiffre d'affaires quotidien est assez variable, mais ces derniers temps, le chiffre d'affaires quotidien en MKR s'élève à environ 4 à 10 millions de dollars.

Tout détenteur de MKR peut soumettre une proposition sous forme de contrat intelligent sur le protocole, ONE de modifier un nombre illimité de paramètres. Maker utilise une gouvernance continue, permettant de voter des modifications de dispositions à tout moment.

C'est particulièrement important en ce moment car le système vient de subir une mise à niveau majeure,mise en œuvre de DAI multi-collatéral et le taux d'économies DAI . Cette nouvelle mise à niveau constitue une toute nouvelle version du protocole, de sorte qu'il existe désormais deux types de DAI et que les utilisateurs sont invités à convertir leur ancien DAI (désormais appelé SAI) vers le nouveau.

Le nouveau système instaure d’importants changements de sécurité, comme un délai dans la durée nécessaire pour que les changements votés entrent en vigueur et une disposition d’arrêt d’urgence.

La plus grande faiblesse de l'attaque de Zoltu réside dans le fait que le paramètre actuel de délai de gouvernance est de zéro seconde. Autrement dit, toute disposition de gouvernance votée entre en vigueur immédiatement.

C'est quelque chose que Wouter Kampmann, responsable de l'ingénierie à la Maker Foundation, a déclaré avoir été discuté en détail par la communauté MakerDAO, qui a décidé qu'il était préférable d'avoir un délai nul pour le moment pendant qu'elle détermine quels types de changements devraient pouvoir contourner le délai et lesquels devraient encore avoir un délai.

« Il s’agit vraiment de trouver le juste milieu », a déclaré Kampmann.

Cependant, tant qu'il est en place, affirme Zoltu, les fonds bloqués dans MakerDAO ne sont « pas sûrs ».

Lors d'un appel avec CoinDesk, Kampmann a déclaré que ce ne serait pas aussi simple que de dire que tout l' ETH actuellement détenu en garantie par MakerDAO pourrait simplement être directement déplacé vers un portefeuille contrôlé par l'attaquant.

« Le fonctionnement du code sans permission et imparable repose sur une certaine logique métier qui détermine les règles d'interaction avec le contrat, et ces règles sont immuables », a déclaré Kampmann.

Zoltu admet que cela demanderait de l'intelligence et de la planification, mais à ce stade, les lecteurs qui se souviennentle piratage du DAOVous ressentez peut-être des frissons familiers. Votre tolérance aux menaces peut varier.

L'attaque décrite par Zoltu devrait également être relativement rapide. Kampmann s'attend à ce que le délai de gouvernance soit augmenté au cours du premier trimestre, peut-être en janvier.

Il est toutefois important de noter que cette décision ne lui appartient pas, ni à lui ni au personnel de la fondation.

D'autre part

« On ne peut pas ignorer les aspects économiques », a déclaré Kampmann. « Le problème du modèle FORTH réside en réalité dans le modèle incitatif. »

Un petit nombre de baleines possèdent actuellement suffisamment de MKR pour lancer cette attaque, mais il est extrêmement improbable qu'elles y parviennent. Cela provoquerait une onde de choc sur Ethereum et, si elles détenaient autant de MKR, elles perdraient probablement plus en autres actifs qu'elles ne gagneraient en volant de l' ETH (dont la valeur chuterait probablement aussi).

Selon Kampmann, la meilleure chose à faire pour les détenteurs de MKR soucieux de sécuriser le protocole est de miser leurs MKR sur des votes. Plus le montant est misé, plus cette attaque sera coûteuse, et de nombreux MKR sont actuellement en réserve.

Krug, qui connaît bien la classe des investisseurs en Crypto , a reconnu que les baleines MKR sont probablement bien intentionnées, mais il a également déclaré : « Nous ne pouvons T le supposer avec certitude. »

Il existe cependant plus de 16 000 adresses ETH contenant des MKR. Si quelques baleines mineures parvenaient à s'entendre sans prévenir la communauté MakerDAO, elles pourraient rassembler suffisamment de jetons sans provoquer de fluctuations de prix.

La Fondation Maker a déclaré que cela était très improbable compte tenu des informations connues sur la liquidité du MKR . Autrement dit, le MKR ne fluctue T beaucoup.

Mais Zoltu insiste sur le fait que ce n'est pas suffisamment sûr. Il a déclaré : « Ils [la Fondation Maker ] partent du principe qu'il n'existe pas de dark pools de liquidités accessibles aux attaquants. C'est, par définition, quelque chose ONE ne peut pas savoir. »