MakerDAO: 340 milhões de Ethereum (ETH) estão em perigo? Hacker descobre vulnerabilidade

  • Um programador de software chamou a atenção para uma “lacuna” no sistema MakerDAO que descreve um roubo de todos os 340 milhões de etéreo (ETH) actualmente armazenados no sistema.
  • Em resposta, a equipe da MakerDAO publicou uma pesquisa sobre o Governance Security Module (GSM) no portal de governança.

Micah Zoltu, um desenvolvedor de software e co-autor do whitepaper original para o mercado de previsão descentralizada Augur (REP) publicou um artigo no seu blog na segunda-feira descrevendo um possível ataque ao sistema MakerDAO. Como Zoltu explica, todos os 340 milhões de Ethereum (ETH) atualmente depositados no MakerDAO estão em perigo. O hacker nem sequer requer muito conhecimento de programação. Em vez disso, apenas uma grande quantidade de MakerDAO (MKR) é necessária.

Em seu blog “como transformar $20M em $340M em 15 segundos” Zoltu explica que a “lacuna”, como Zoltu a descreve, permite que qualquer atacante que tenha cerca de 40.000 MKR (cerca de 20 milhões de dólares americanos) transfira todo o Ether (ETH) depositado como garantia no sistema MakerDAO para si mesmo. Para isso, os atacantes só teriam que usar o modelo de governança de MakerDAO votando em sua própria proposta, ou seja, enviar todos os Ethers para o endereço do atacante, com a quantidade de MKR acima mencionada.

Para evitar tais ataques, há um tempo de atraso (“Governance Security Module” – GSM) no sistema MakerDAO durante o qual a comunidade MakerDAO pode concluir o contrato. No entanto, isso é atualmente parametrizado com 0. Como Zoltu escreve, o ataque só é possível para algumas baleias MKR. No entanto, proprietários de grandes quantidades de MKR também podem unir forças para executar o ataque. De acordo com Zoltu, o ataque poderia proceder da seguinte forma:

  1. Adquirir 80.000 MKR.
  2. Crie um contrato executivo que é programado para transferir todas as garantias da MakerDAO para você.
  3. Vote no contrato imediatamente (na mesma transação).
  4. Imediatamente (na mesma transação) ativar o contrato.
  5. Dirija com 340 milhões de USD ETH no pôr-do-sol.

Como escreve Zoltu, com alguma paciência e sofisticação,  40.000 MKR poderia ser suficiente para o ataque.

MakerDAO reage à acusação

Pouco depois que o post do blog ganhou grande atenção, a equipe de desenvolvimento de MakerDAO respondeu às acusações. Eles explicaram que o problema era conhecido pela equipe e que nada tinha sido feito de propósito porque a ameaça não era considerada real. Em resposta ao post do blog do Zoltu, afirma-se que o artigo aumentou a possibilidade de hackers explorarem essa vulnerabilidade.

Desde o lançamento da MCD, o atraso foi fixado em 0. Isso permitiu que a comunidade tomasse medidas imediatas para mitigar erros técnicos, mau funcionamento de oráculos ou casos isolados, como pânico no mercado ou um ataque econômico. […]

A comunidade tinha anteriormente considerado a possibilidade de uma exploração, mas não era um problema imediato. No entanto, a probabilidade dessa exploração cresceu devido à potencial publicidade do blog acima.

Como resultado, a equipe MakerDAO reagiu ontem. Um inquérito foi adicionado ao portal de governança para permitir que a comunidade vote no Governance Security Module (GSM). Se a proposta for aceita, a mudança aumentará o atraso do GSM de 0 para 24 horas. O potencial ataque deixaria de ser possível no sentido de que seria possível reagir e fechar o contrato.

O preço do Maker, no entanto, não é impressionado pelas manchetes negativas e se move lateralmente em linha com a tendência atual do mercado.

Siga-nos no Facebook e Twitter e não perca mais nenhuma notícia quente! Gosta dos nossos índices de preços?

About Author

Jake Simmons tem sido um entusiasta de criptomonedas desde 2016, e desde que ouviu falar sobre Bitcoin e tecnologia blockchain, ele tem estado envolvido com o assunto todos os dias. Além das criptomoedas, Jake estudou ciência da computação e trabalhou por 2 anos para uma startup no setor de blockchain. Na CNF ele é responsável pelas questões técnicas. Seu objetivo é tornar o mundo consciente das moedas criptográficas de uma forma simples e compreensível.

Os comentários estão encerrados.