Por Arnaldo Ochoa @arnaldochoaCon USD $20 millones los atacantes pueden robar todo el colateral en MakerDAO. Como respuesta, Maker implementó nueva característica de seguridad
***
Una vulnerabilidad dentro del sistema de gobernanza de MakerDAO ha sido revelada por el desarrollador y coautor del white paper (libro blanco) original de Augur, Micah Zoltu (@MicahZoltu en Twitter) este lunes, afirmando que con una inversión de USD $20 millones, un atacante, o grupo de atacantes, pudiera organizarse para robar todo el colateral bloqueado en aplicaciones descentralizadas que dependan de MakerDAO, como Compound, Uniswap, Bancor, etc. Esto es, a día de hoy, unos USD $340 millones bloqueados.
El desarrollador Micah Zoltu (@MicahZoltu) ha denunciado hoy 9 de Diciembre de 2019 una vulnerabilidad que pone en riesgo más de $340MM USD en ETH, DAI, SAI, y cantidad de tokens de Compound, Uniswap y otros sistemas que dependen de Maker DAO
Abrimos hilo! pic.twitter.com/o1gcNI6yN1
— Diario฿itcoin (@DiarioBitcoin) December 10, 2019
En pocas palabras, y de acuerdo a lo que DiarioBitcoin observa, quien tenga fondos bloqueados en este tipo de aplicaciones, bien sea en ETHereum, DAI, SAI o alguno de los otros tokens con los cuales trabajan estas Dapps, está en riesgo y debe evaluar retirar sus fondos de allí.
(aquí el post original de Micah Zoltu en https://t.co/ZlLc6ivGzKhttps://t.co/o5nef0xr6Y)
La versión corta:
Los fondos están a riesgo.(Es decir, saque sus ETH de MakerDAO antes que alguien se los robe)
— Diario฿itcoin (@DiarioBitcoin) December 10, 2019
Zoltu: Atacantes pueden robar todo el colateral en MakerDAO
A través de una publicación en Medium, el desarrollador en cuestión reveló cómo los atacantes pueden robar todo el colateral en MakerDAO, el protocolo detrás del proyecto ERC20 de moneda estable, DAI, y cómo está configurada la vulnerabilidad en su sistema de gobernanza.
Según Zoltu, cualquier persona con unos 40.000 Makers (MKR) (~unos USD $20 millones) puede robarse todo el colateral en MakerDAO, incluyendo DAI, SAI y otros activos de Compound, Uniswap, y otros sistemas integrados a Maker (más de USD $340 millones). Esto debido a que, según cita Coindesk, “Algunos grupos de plutócratas pueden controlar cómo se comporta el sistema.”
También, agrega la fuente, se suponía que MakerDAO v2 se lanzaría con un mecanismo de apagado de emergencia y de retrasos de gobierno para combatir a cualquier atacante dueño de MKR que intentara robarse el colateral y los otros activos. Sin embargo, al parecer decidieron no integrar estos mecanismos de seguridad en el lanzamiento.
En noviembre, DiarioBitcoin informó que se había liberado MakerDAO v2, también conocido como Multicolateral DAI o McDAI, con soporte a multiples colaterales, es decir, se pueden depositar otras monedas aparte de ETH para recibir préstamos en DAI.
¿Fondos no SAFU (no seguros)?
El sistema de gobierno de Maker, a diferencia de Uniswap o Augur, es capaz de invocar gran cantidad de funcionalidad interna en el contrato inteligente, permitiéndole a los gobernadores del sistema hacer lo que les plazca. El gobierno es un sistema simple basado en un “Líder de Participación” donde el que pone más MKR “gobierna”.
El contrato ejecutivo actual, también denominado “propuesta ejecutiva“, tiene unos 80.000 MKR en participación (stake),unos USD $41 millones. Para mitigar amenazas maliciosas el sistema tiene un mecanismo de retraso para asignar poderes al nuevo gobernante antes de que este ejecute alguna acción. Durante este periodo, alguien con suficiente cantidad de MKR puede iniciar un asentamiento global del sistema, efectivamente apagándolo antes que el nuevo contrato pueda hacer nada.
Esto ocasiona que si un ladrón llegara e intentara votar por su propio contrato ejecutivo, programado para robarse todo el colateral, tendría que esperar a que “nadie” iniciara mecanismos de defensas durante esa ventana de tiempo.
El problema es muy sencillo, actualmente el tiempo de retraso para este cambio de gobierno es…. 0 segundos. Es decir, los atacantes no tendrían que esperar, y los defensores no tendrían tiempo de hacer nada absolutamente.
Qué podría hacer un atacante?
Según Zoltu, un atacante o consorcio de atacantes podría:
- Adquirir 80.000 MKR (USD $41 millones),
- Crear un nuevo contrato ejecutivo que transfiera todo el colateral a su cartera,
- De forma simultánea en la misma transacción, votar en el contrato actual y activar el contrato nuevo,
- Desaparecer de la noche a la mañana con USD 340 millones de ETH en su billetera.
Un retorno de 8x (8 veces la inversión), aunque caro de ejecutar, según la publicación.
Si esto no fuese suficiente, el nuevo contrato pudiera decir también que debe generar miles de millones de DAI, y luego agarrar todo ese DAI, meterse en Uniswap y robarse toda la liquides disponible, y seguir de largo y prestar cientos de millones de DAI y sacar todo el ETH
— Diario฿itcoin (@DiarioBitcoin) December 10, 2019
Conversación con MakerDAO
Según la fuente, cuando Micah habló con MakerDAO sobre la vulnerabilidad, sus voceros respondieron, entre otras cosas, que preferían tener el poder de cambio inmediato de gobierno. Dijeron que sabían del vector desde hace tiempo pero que “todo está bien”… “que es muy costoso para que alguien lo haga” … “que es difícil ser anónimo en ETHereum”…
Asimismo, de acuerdo a Coindesk, la Fundación Maker restó algo de valor a las declaraciones de Zoltu y dijo que esto sería muy poco probable en base a lo que se conoce acerca de la liquidez de MKR.
Pero Zoltu insiste en que esto no es lo suficientemente seguro. Él dijo: “Ellos [la Fundación Maker] están operando bajo el supuesto de que no hay pools de liquidez “oscuros” disponibles para los atacantes. Esto es, por definición, algo que uno no puede saber.”
Ante todo esto, DiarioBitcoin le pregunta a sus lectores, quienes pueden emitir sus opiniones o comentar en el grupo en Telegram:
Todo está bien? Están de acuerdo con Maker que nada va a pasar? o es mejor sacar sus ETH de Maker/Compound/Uniswap y otros?
— Diario฿itcoin (@DiarioBitcoin) December 10, 2019
Reacción rápida de MakerDAO
Como resultado, y a raíz de la denuncia de Zoltu, anoche el medio The Block Crypto informó que la Fundación MakerDAO había anunciado como nueva característica de seguridad, el cambio en una demora de gobierno de 0 a 24 horas para prevenir que atacantes puedan vulnerar el sistema de gobernanza y robar fondos.
En noviembre, DiarioBitcoin informó que MakerDAO propuso aumentar límite de DAI emitidos a 120 millones de unidades.
Por otra parte, en mayo, DiarioBitcoin informó que usuarios de MakerDAO aprobaron reducción en tarifas de estabilidad para préstamos con DAI.
Fuentes: Coinmonks en Medium, Coindesk, The Block Crypto
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.
Artículos Relacionados
DeFi
Hacker de Mango Markets fue declarado culpable por fraude y manipulación de mercado
Estafas
El 50% de las preventas de tokens en la red Solana son estafas, advierte informe
Colombia
Ciberdelitos financieros aumentaron más de un 400% en Colombia durante el último año, revela Bitso
DeFi