MakerDAO: 340 millions d’Ethereum (ETH) sont-ils en danger? Hacker découvre la vulnérabilité

  • Un développeur de logiciel a attiré l’attention sur une « faille » dans le système MakerDAO qui décrit un vol des 340 millions d’Ethereum (ETH) actuellement stockés dans le système.
  • En réponse, l’équipe de MakerDAO a publié un sondage sur le module de sécurité de gouvernance (GSM) dans le portail de gouvernance.

Micah Zoltu, développeur de logiciels et co-auteur du livre blanc original pour le marché de la prédiction décentralisée Augur (REP) a publié lundi un billet de blog décrivant une attaque possible sur le système MakerDAO. Comme l’explique Zoltu, les 340 millions d’Ethereum (ETH) actuellement déposés dans le MakerDAO sont en danger. Le piratage n’exige même pas beaucoup de connaissances en programmation. Au lieu de cela, seule une grande quantité de MakerDAO (MKR) est nécessaire.

Dans son article de blog « comment transformer 20 millions de dollars en 340 millions de dollars en 15 secondes », Zoltu explique que la « faille », comme le décrit Zoltu, permet à tout attaquant détenant environ 40 000 MKR (environ 20 millions de dollars US) de transférer à lui-même tout Ether (ETH) déposé comme garantie dans le système MakerDAO. Pour cela, les attaquants n’auraient qu’à utiliser le modèle de gouvernance de MakerDAO en votant pour leur propre proposition, à savoir envoyer tous les Ethers à l’adresse de l’attaquant, avec le montant de MKR mentionné ci-dessus.

Pour prévenir de telles attaques, il y a un délai (« Governance Security Module » – GSM) dans le système MakerDAO pendant lequel la communauté MakerDAO peut conclure le contrat. Comme l’écrit Zoltu, l’attaque n’est possible que pour quelques baleines MKR. Cependant, les propriétaires de plus grandes quantités de MKR pourraient également unir leurs forces pour exécuter l’attaque. Selon Zoltu, l’attaque pourrait se dérouler comme suit :

  1. Acquérir 80 000 MKR.
  2. Créez un contrat exécutif qui est programmé pour transférer toutes les garanties de MakerDAO vers vous.
  3. Votez immédiatement sur le contrat (dans la même transaction).
  4. Activer immédiatement (dans la même transaction) le contrat.
  5. Conduisez avec 340 millions USD ETH au coucher du soleil.

Comme l’écrit Zoltu, avec un peu de patience et de sophistication, 40 000 MKR pourraient suffire pour l’attaque.

MakerDAO réagit à l’accusation

Peu de temps après que l’article du blog ait retenu l’attention, l’équipe de développement de MakerDAO a répondu aux accusations. Ils ont expliqué que le problème était connu de l’équipe et que rien n’avait été fait exprès parce que la menace n’était pas considérée comme réelle. En réponse à l’article du blog de Zoltu, il a affirmé que l’article augmentait la possibilité que des pirates informatiques exploitent cette vulnérabilité.

Depuis le lancement du MCD, le délai a été fixé à 0, ce qui a permis à la communauté de prendre des mesures immédiates pour atténuer les erreurs techniques, les dysfonctionnements des oracles ou les cas extrêmes comme une panique du marché ou une attaque économique. […]

La communauté avait auparavant envisagé la possibilité d’un exploit, mais ce n’était pas un problème immédiat. Cependant, la probabilité de cet exploit a augmenté en raison de la publicité potentielle du blog ci-dessus.

En conséquence, l’équipe de MakerDAO a réagi hier. Un sondage a été ajouté au portail de gouvernance pour permettre à la communauté de voter sur le Governance Security Module (GSM). Si la proposition est acceptée, la modification fera passer le délai GSM de 0 à 24 heures. L’attaque potentielle ne serait plus possible en ce sens qu’il serait possible de réagir et de clore le contrat.

Le prix Maker, cependant, n’est pas impressionné par les manchettes négatives et se déplace latéralement en ligne avec la tendance actuelle du marché.

Suivez-nous sur Facebook et Twitter et ne manquez plus aucune nouvelle ! Vous appréciez nos indices de prix?

About Author

Jake Simmons has been a crypto enthusiast since 2016, and since hearing about Bitcoin and blockchain technology, he's been involved with the subject every day. Beyond cryptocurrencies, Jake studied computer science and worked for 2 years for a startup in the blockchain sector. At CNF he is responsible for technical issues. His goal is to make the world aware of cryptocurrencies in a simple and understandable way.

Les commentaires sont fermés.