«Критична» вразливість MakerDAO могла заморозити кошти виборців, кажуть аудитори

Згідно з аудиторською компанією Zeppelin, критична вразливість на платформі програмного кредитування MakerDAO могла зробити кошти користувачів неповерненими.

Виявлений протягом останніх кількох тижнів, MakerDAO опублікував у понеділок терміновий заклик до власників токенів платформи MakerDAO, написавши на Reddit:

"У партнерстві з Coinbase і Zeppelin фонд Maker Foundation брав участь у другому раунді аудиту Контракту голосування Maker . Під час цього процесу ми виявили необхідність зробити важливе оновлення... Рекомендуємо вам негайно перемістити ваш MKR зі старого контракту та повернути його назад у ваш особистий гаманець".

У той час власники токенів MKR не були поінформовані про точну природу проблеми, враховуючи, що вразливість все ще може використовуватися зловмисником, якщо її розкриють.

У четвер вийшов Zeppelin повне Повідомлення описуючи, як уразливість могла перемістити токени користувача та назавжди заблокувати їх у рамках контракту голосування MakerDAO. Згідно з документом, уразливість була виявлена ​​та проаналізована між 22 і 26 квітня, про що команда MakerDAO була проінформована, а фіксований контракт підлягає аудиту 2 травня.

Окрема публікація на субредіті MakerDAO обговорювала вразливість і спільна інформація про нову безкомпромісну угоду про голосування. «Через експлойт звичайну щотижневу процедуру опитування керівних органів і виконавчого голосування було призупинено, оскільки власники MKR вийшли зі старого контракту», — пояснюється в повідомленні.

Роблячи крок назад, MakerDAO є видатною платформою для кредитування популярних стейблкоїнів DAI, прив’язаних до долара. MakerDAO також є децентралізованою платформою управління, за допомогою якої власники токенів MKR мають право голосувати та вносити зміни в протокол кредитування DAI .

«Як працює система управління MakerDAO, є кілька пропозицій, які закодовані як адреси Ethereum , і люди можуть голосувати за ONE чи іншу, заблокувавши свої токени MKR у головному контракті для голосування», — пояснив CoinDesk керівник відділу досліджень Zeppelin Алехо Саллес.

По суті, вразливість, розкрита командою Zeppelin, поставила під загрозу токени MKR , які зберігалися в рамках контракту голосування MakerDAO. Зловмисник міг гіпотетично перемістити токени, поставлені на користь ONE пропозиції щодо управління MakerDAO, до іншої конкуруючої пропозиції та назавжди заблокувати їх.

Саллес підкреслив CoinDesk , що токени MKR не можна було вилучити з контракту голосування MakerDAO, а просто заблокувати та перемістити.

Більше перевірок

Ця вразливість, наскільки відомо Zeppelin наразі, T використовувалася на платформі MakerDAO.

Однак Саллес зазначив, що він міг ефективно заморозити токени MKR на суму 100 мільйонів доларів, які зберігаються в оригінальному контракті голосування MakerDAO.

"Цей контракт займав центральне місце в системі MakerDAO. Він мав привілеї над багатьма іншими речами", - зазначає Саллес для CoinDesk. «Безпека дуже чутлива в Крипто , і в цьому випадку це стало можливим, оскільки команда MakerDAO все ще має достатньо коштів, щоб внести зміни».

Дійсно, некомерційна організація MakerDAO Foundation володіє найбільшою часткою токенів MKR , понад 25 відсотків від 1 мільйона загальної пропозиції. Враховуючи надзвичайно чутливу природу вразливості безпеки, фонд MakerDAO використав наявні у своєму розпорядженні кошти, щоб таємно виконати зміну стану без інформування широкої громадськості.

«У більш децентралізованій системі, якою MakerDAO стане NEAR часом, це було б набагато гірше», — попереджає Саллес. "Тому що ви повинні координувати всіх цих людей, але в той же час не підвищувати обізнаність про те, що відбувається. Це начебто неможливо".

Код, що стоїть за контрактом голосування MakerDAO, є частиною більшої бібліотеки коду, яка була повністю перевірена ще в 2017 році охоронною фірмою Trail of Bits.

Коли його запитали, чи знала Trail of Bits про розкриту сьогодні вразливість, генеральний директор Ден Гуідо підтвердив, що вони не знають, але додав, що з 2017 року «було багато зобов’язань щодо цього конкретного коду та багатьох його залежностей».

Цього місяця Trail of Bits завершила новий аудит довгоочікуваного коду MakerDAO для підтримки багатосторонній DAI.Як сказав Гвідо CoinDesk:

«Під час нашої оцінки multi-collateral DAI ми виявили дві проблеми безпеки низького рівня, які не вдалося ідентифікувати під час перевірки. Перша проблема уникла перевірки через те, що атака покладалася на час, щоб її здійснити. Друга проблема мала економічний характер і описувала стратегію атаки для зловживання системою на основі її правильної поведінки. Ці проблеми були негайно виправлені MakerDAO».

Належна обачність

Вторинний аудит контракту про голосування MakerDAO від Zeppelin фактично був замовлений біржею Криптовалюта Coinbase. Coinbase має для деякий час планував увімкнути бездоганний інтерфейс із платформою голосування MakerDAO для власників токенів MKR .

«Ми очолили аудит як частину нашого процесу належної обачності щодо підтримки можливостей голосування MakerDAO у продукті Coinbase Custody», — сказав Алан Леунг, керівник відділу безпеки Coinbase Custody.

Леунг пояснив, що клієнтам Coinbase, які володіють токенами MKR, було незручно безпосередньо взаємодіяти з протоколом голосування MakerDAO, оскільки «вони T знають про ризик або ризики переважають акт участі».

За словами Леунга, частина зусиль Coinbase у підтримці стороннього аудиту контактного коду голосування MakerDAO полягала в тому, щоб забезпечити безпеку можливостей Coinbase для взаємодії з MakerDAO.

«Наше бачення полягає в тому, щоб надати нашим клієнтам безпечний канал для участі в мережі, і в рамках цього процесу ми досить глибоко занурилися в те, як працює контракт MakerDAO і як працює голосування», — сказав Леунг CoinDesk.

Оскільки уразливість була розкрита та усунена, Люн підтвердив CoinDesk, що намір запустити функцію голосування MKR на Coinbase Custody залишається незмінним.

«Ми виконали домашнє завдання, переконавшись, що [наш інтерфейс] є найбезпечнішим способом участі в мережі MakerDAO, оскільки ми ставимо свій ярлик за цю дію», — сказав він CoinDesk.

Замок зображення через Shutterstock