Vulnerabilidade 'crítica' do MakerDAO pode ter congelado fundos de eleitores, dizem auditores

Uma vulnerabilidade crítica na plataforma de empréstimos programáticos MakerDAO pode ter tornado os fundos dos usuários irrecuperáveis, de acordo com a empresa de auditoria de segurança Zeppelin.

Descoberto nas últimas semanas, o MakerDAO emitiu na segunda-feira um apelo urgente aos detentores de tokens da plataforma MakerDAO, escrevendo emReddit:

“Em parceria com a Coinbase e a Zeppelin, a Maker Foundation tem participado de uma segunda rodada de auditorias do Maker Voting Contract. Durante esse processo, descobrimos a necessidade de fazer uma atualização crítica... É aconselhável que você mova seu MKR do contrato antigo e volte para sua carteira pessoal imediatamente.”

Na época, os detentores de tokens MKR não foram informados sobre a natureza exata do problema, já que a vulnerabilidade ainda poderia ser explorada por um invasor se fosse divulgada.

Na quinta-feira, o Zeppelin lançouuma Aviso Importante completadescrevendo como a vulnerabilidade poderia ter movido tokens de usuários e os bloqueado permanentemente dentro do contrato de votação da MakerDAO. De acordo com o documento, a vulnerabilidade foi descoberta e analisada entre 22 e 26 de abril, momento em que a equipe da MakerDAO foi informada, com um contrato fixo sendo submetido a uma auditoria em 2 de maio.

Uma postagem separada no subreddit MakerDAO discutiu a vulnerabilidade einformação compartilhada sobre o novo e descomprometido contrato de votação. "Devido à exploração, a cadência semanal usual de Pesquisa de Governança e Votação Executiva foi pausada, pois os detentores de MKR fizeram a transição para fora do antigo contrato", explicou a postagem.

Dando um passo para trás, MakerDAO é a plataforma de empréstimo preeminente para a popular stablecoin DAI atrelada ao dólar. MakerDAO também é uma plataforma de governança descentralizada por meio da qual os detentores de tokens MKR têm o poder de votar e executar mudanças no protocolo de empréstimo DAI .

“O sistema de governança MakerDAO funciona da seguinte forma: há várias propostas que são codificadas como endereços de Ethereum e as pessoas podem votar em uma ou outra bloqueando seus tokens MKR no contrato de votação principal”, explicou o chefe de pesquisa da Zeppelin, Alejo Salles, ao CoinDesk.

Em essência, a vulnerabilidade divulgada pela equipe do Zeppelin colocou em risco os tokens MKR mantidos dentro do contrato de votação do MakerDAO. Um invasor poderia ter hipoteticamente movido tokens apostados em favor de uma proposta de governança do MakerDAO para outra proposta concorrente e os bloqueado no lugar para sempre.

Salles enfatizou ao CoinDesk que os tokens MKR não puderam ser retirados do contrato de votação da MakerDAO, mas sim simplesmente bloqueados e movidos.

Mais auditorias

Essa vulnerabilidade, até onde o Zeppelin sabe atualmente, T foi explorada na plataforma MakerDAO.

No entanto, Salles observou que havia o potencial de efetivamente congelar US$ 100 milhões em tokens MKR mantidos no contrato de votação original da MakerDAO.

“Este contrato era muito central no sistema MakerDAO. Ele tinha privilégios sobre muitas outras coisas”, observa Salles ao CoinDesk. “A segurança é muito sensível na indústria de Cripto e, neste caso, foi possível porque a equipe MakerDAO ainda tem fundos suficientes para fazer a mudança.”

De fato, a MakerDAO Foundation, uma organização sem fins lucrativos, detém de longe a maior fatia de tokens MKR , com mais de 25% do fornecimento total de 1 milhão. Dada a natureza altamente sensível da vulnerabilidade de segurança, a MakerDAO Foundation alavancou os fundos à sua disposição para executar secretamente uma mudança de estado sem maior conscientização pública.

“Em um sistema mais descentralizado, que é o que o MakerDAO será no futuro NEAR , isso teria sido muito pior”, alerta Salles. “Porque você tem que coordenar todas essas pessoas, mas ao mesmo tempo não aumentar muito a conscientização sobre o que está acontecendo. Isso é meio impossível.”

O código por trás do contrato de votação da MakerDAO faz parte de uma biblioteca maior de código que foi totalmente inspecionada em 2017 pela empresa de segurança Trail of Bits.

Quando perguntado se a Trail of Bits sabia sobre a vulnerabilidade divulgada hoje, o CEO Dan Guido afirmou que não, mas acrescentou que desde 2017 "houve muitos commits para aquele código específico e para muitas de suas dependências".

A Trail of Bits concluiu neste mês uma nova auditoria sobre o tão aguardado código MakerDAO para dar suporte DAI multicolateral.Como Guido disse ao CoinDesk:

"No curso de nossa avaliação do DAI multicolateral, descobrimos dois problemas de segurança de baixa gravidade que escaparam da identificação pela verificação. O primeiro problema escapou da verificação devido à dependência do ataque na passagem do tempo para realizá-lo. O segundo problema era de natureza econômica e descrevia uma estratégia de ataque para abusar do sistema com base em seu comportamento correto. Esses problemas foram corrigidos imediatamente pela MakerDAO."

Due diligence

A auditoria secundária do contrato de votação MakerDAO pela Zeppelin foi, na verdade, contratada pela bolsa de Criptomoeda Coinbase. A Coinbase tem para algum tempo está planejando habilitar uma interface perfeita com a plataforma de votação MakerDAO para detentores de tokens MKR .

“Lideramos a auditoria como parte do nosso processo de due diligence no suporte à capacidade de votação do MakerDAO dentro do produto Coinbase Custody”, disse Alan Leung, chefe de segurança da Coinbase Custody.

Leung explicou que os clientes da Coinbase que detinham tokens MKR não se sentiam confortáveis ​​em interagir diretamente com o protocolo de votação do MakerDAO, pois "eles T conheciam o risco ou os riscos superavam o ato de participação".

De acordo com Leung, parte dos esforços da Coinbase em dar suporte a uma auditoria de terceiros do código de contato de votação do MakerDAO era para garantir que os recursos desenvolvidos na Coinbase para interagir com o MakerDAO fossem seguros.

“Nossa visão é fornecer aos nossos clientes um canal seguro para participação na rede e, como parte desse processo, nos aprofundamos bastante em como o contrato MakerDAO funciona e como a votação funciona”, disse Leung ao CoinDesk.

Com a vulnerabilidade tendo sido divulgada e corrigida, Leung afirmou à CoinDesk que a intenção de lançar a capacidade de votação MKR na Coinbase Custody permanece inalterada.

“Fizemos nossa lição de casa para garantir que [nossa interface] seja a maneira mais segura de participar da rede MakerDAO porque estamos colocando nossa marca por trás da ação”, disse ele ao CoinDesk.

Trancarimagem via Shutterstock