攻击者可以窃取MakerDAO中的全部抵押品

Twitter作者： @arnaldochoa
有了2000万美元，攻击者就可以窃取MakerDAO中的全部抵押品。作为响应，Maker实施了新的安全功能

***

MakerDAO治理系统中的漏洞已被开发者和共同作者发现。 原始白皮书 的 奥古尔，Micah Zoltu（@MicahZoltu on Twitter）周一表示，攻击者或一组攻击者可以投资2000万美元，来组织窃取依赖MakerDAO的去中心化应用程序中阻止的所有抵押品，例如Compound，Uniswap ，Bancor等如今，这已被冻结约3.4亿美元。

开发商Micah Zoltu（@MicahZoltu）今天（2019年12月9日）谴责了一个漏洞，该漏洞在ETH，DAI，SAI以及依赖Maker DAO的Compound，Uniswap和其他系统的代币数量中风险超过340MM美元

我们打开线程 pic.twitter.com/o1gcNI6yN1

-DiarioBitcoin（@DiarioBitcoin） 2019年12月10日

简而言之，根据DiarioBitcoin的观察，谁阻止了这类应用程序中的资金（以太坊，DAI，SAI或与这些Dapps一起工作的任何其他代币）处于危险之中，应评估从那里提取资金。

（这里是Micah Zoltu在 https://t.co/ZlLc6ivGzKhttps://t.co/o5nef0xr6Y）

简短版本：
资金有风险。

（也就是说，在有人从你那里窃取你的ETH之前，先从MakerDAO中取出你的ETH）

-DiarioBitcoin（@DiarioBitcoin） 2019年12月10日

Zoltu：攻击者可以在MakerDAO中窃取全部抵押品

通过在Medium中的出版物，有关开发人员揭示了攻击者如何在MakerDAO中窃取全部抵押品，ERC20稳定货币项目DAI背后的协议以及如何在其治理系统中配置漏洞。

根据Zoltu的说法，拥有约40,000个Makers（MKR）（约合2000万美元）的任何人都可以窃取MakerDAO中的全部抵押品，包括DAI，SAI以及Compound，Uniswap以及集成到Maker中的其他系统的其他资产（超过340美元）百万）。根据Coindesk的说法，这是因为“一些富豪集团可以控制系统的行为方式”。

消息人士还补充说，MakerDAO v2应该启动紧急关闭和政府延迟机制，以打击拥有MKR并试图窃取抵押品和其他资产的任何攻击者。但是，他们显然决定不将这些安全机制集成到启动中。

11月，DiarioBitcoin报告称MakerDAO v2（也称为多抵押DAI或McDAI）已发布，并支持多种抵押品，也就是说，可以存放除ETH以外的其他货币以在DAI中获得贷款。

资金不是SAFU（不安全）？

创制者的政府体制，不同于 Uniswap 或Augur，可以在智能合约中调用大量内部功能，从而使系统的管理者可以随心所欲。政府是一个基于“参与领导者”的简单系统，在该系统中，更多的MKR成为“政府”。

当前的执行合约，也称为“执行建议”，约有80,000 MKR的参与（利益），约4,100万美元。为了减轻恶意威胁，系统具有延迟机制，可以在新统治者执行任何操作之前为其分配电源。在此期间，拥有足够MKR的人可以启动系统的全局结算，从而在新合约可以执行任何操作之前有效地将其关闭。

这导致如果一个小偷到达并试图为自己的执行合约投票，计划窃取整个抵押品，他将不得不等待“没人”在这段时间窗口内启动防御机制。

问题很简单，目前政府换届的延迟时间是……。 0秒也就是说，攻击者不必等待，防御者也没有时间绝对地做任何事情。

攻击者可以做什么？

根据佐尔图，攻击者或攻击者联盟可以：

1. 收购80,000 MKR（4,100万美元），
2. 创建一个新的执行合约，将整个抵押物转移到你的投资组合中，
3. 在同一笔交易中，同时对当前合约进行表决并激活新合约，
4. 一夜之间消失，钱包里有3.4亿美元的ETH。

根据该出版物，尽管执行成本很高，但回报率为8倍（投资额的8倍）。

如果还不够的话，新合约还可以说必须产生数十亿美元的DAI，然后将所有DAI拿走，进入Uniswap并窃取所有可用的流动性，然后继续向其贷款数亿美元。取出所有ETH

-DiarioBitcoin（@DiarioBitcoin） 2019年12月10日

与MakerDAO对话

消息人士称，当米卡（Micah）与MakerDAO谈及脆弱性时，他的发言人回应说，他们更愿意拥有立即改变政府的权力。他们说，他们很早就知道了这种媒介，但是“一切都很好”……“某人这样做非常昂贵”……“在以太坊中很难匿名”……

此外，根据Coindesk的说法，MKR基金会从Zoltu的声明中贬低了一些价值，并表示，基于对MKR流动性的了解，这极不可能。

但是佐尔图坚持认为这还不够安全。他说：“他们（MKR基金会）的运作假设是没有可供攻击者使用的“黑暗”流动资金池。从定义上来说，这是人们所不知道的。”

有鉴于此，DiarioBitcoin要求其读者发表自己的意见或评测。 分组 电报：

一切还好吗？你是否同意Maker不会发生任何事情？还是从Maker / Compound / Uniswap和其他公司获得你的ETH更好？

-DiarioBitcoin（@DiarioBitcoin） 2019年12月10日

MakerDAO快速反应

结果，继佐尔图的抱怨之后，昨晚媒体 区块加密货币 他告知MakerDAO基金会宣布了一项新的安全功能，即将政府延迟时间从0小时更改为24小时，以防止攻击者违反治理系统并窃取资金。

11月，DiarioBitcoin报告称MakerDAO建议将已发行DAI的上限提高到1.2亿个。

另一方面，5月，DiarioBitcoin报道MakerDAO用户批准降低DAI贷款的稳定率。

资料来源： 中型代币， Coindesk， 区块加密货币

DiarioBitcoin报告。

—-

编译者/作者：不详

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。