Por Arnaldo Ochoa   @arnaldochoa


Con USD $20 millones los atacantes pueden robar todo el colateral en MakerDAO. Como respuesta, Maker implementó nueva característica de seguridad

***

Una vulnerabilidad dentro del sistema de gobernanza de MakerDAO ha sido revelada por el desarrollador y coautor del white paper (libro blanco) original de Augur, Micah Zoltu (@MicahZoltu en Twitter) este lunes, afirmando que con una inversión de USD $20 millones, un atacante, o grupo de atacantes, pudiera organizarse para robar todo el colateral bloqueado en aplicaciones descentralizadas que dependan de MakerDAO, como Compound, Uniswap, Bancor, etc. Esto es, a día de hoy, unos USD $340 millones bloqueados.

En pocas palabras, y de acuerdo a lo que DiarioBitcoin observa, quien tenga fondos bloqueados en este tipo de aplicaciones, bien sea en ETHereum, DAI, SAI o alguno de los otros tokens con los cuales trabajan estas Dapps, está en riesgo y debe evaluar retirar sus fondos de allí.

Zoltu: Atacantes pueden robar todo el colateral en MakerDAO

A través de una publicación en Medium, el desarrollador en cuestión reveló cómo los atacantes pueden robar todo el colateral en MakerDAO, el protocolo detrás del proyecto ERC20 de moneda estable, DAI, y cómo está configurada la vulnerabilidad en su sistema de gobernanza.

Según Zoltu, cualquier persona con unos 40.000 Makers (MKR) (~unos USD $20 millones) puede robarse todo el colateral en MakerDAO, incluyendo DAI, SAI y otros activos de Compound, Uniswap, y otros sistemas integrados a Maker (más de USD $340 millones). Esto debido a que, según cita Coindesk, “Algunos grupos de plutócratas pueden controlar cómo se comporta el sistema.”

También, agrega la fuente, se suponía que MakerDAO v2 se lanzaría con un mecanismo de apagado de emergencia y de retrasos de gobierno para combatir a cualquier atacante dueño de MKR que intentara robarse el colateral y los otros activos. Sin embargo, al parecer decidieron no integrar estos mecanismos de seguridad en el lanzamiento.

En noviembre, DiarioBitcoin informó que se había liberado MakerDAO v2, también conocido como Multicolateral DAI o McDAI, con soporte a multiples colaterales, es decir, se pueden depositar otras monedas aparte de ETH para recibir préstamos en DAI.

¿Fondos no SAFU (no seguros)?

El sistema de gobierno de Maker, a diferencia de Uniswap o Augur, es capaz de invocar gran cantidad de funcionalidad interna en el contrato inteligente, permitiéndole a los gobernadores del sistema hacer lo que les plazca. El gobierno es un sistema simple basado en un “Líder de Participación” donde el que pone más MKRgobierna”.

El contrato ejecutivo actual, también denominado “propuesta ejecutiva“, tiene unos 80.000 MKR en participación (stake),unos USD $41 millones. Para mitigar amenazas maliciosas el sistema tiene un mecanismo de retraso para asignar poderes al nuevo gobernante antes de que este ejecute alguna acción. Durante este periodo, alguien con suficiente cantidad de MKR puede iniciar un asentamiento global del sistema, efectivamente apagándolo antes que el nuevo contrato pueda hacer nada.

Esto ocasiona que si un ladrón llegara e intentara votar por su propio contrato ejecutivo, programado para robarse todo el colateral, tendría que esperar a que “nadie” iniciara mecanismos de defensas durante esa ventana de tiempo.

El problema es muy sencillo, actualmente el tiempo de retraso para este cambio de gobierno es…. 0 segundos. Es decir, los atacantes no tendrían que esperar, y los defensores no tendrían tiempo de hacer nada absolutamente.

Qué podría hacer un atacante?

Según Zoltu, un atacante o consorcio de atacantes podría:

  1. Adquirir 80.000 MKR (USD $41 millones),
  2. Crear un nuevo contrato ejecutivo que transfiera todo el colateral a su cartera,
  3. De forma simultánea en la misma transacción, votar en el contrato actual y activar el contrato nuevo,
  4. Desaparecer de la noche a la mañana con USD 340 millones de ETH en su billetera.

Un retorno de 8x (8 veces la inversión), aunque caro de ejecutar, según la publicación.

Conversación con MakerDAO

Según la fuente, cuando Micah habló con MakerDAO sobre la vulnerabilidad, sus voceros respondieron, entre otras cosas, que preferían tener el poder de cambio inmediato de gobierno. Dijeron que sabían del vector desde hace tiempo pero que “todo está bien”… “que es muy costoso para que alguien lo haga” … “que es difícil ser anónimo en ETHereum”…

Asimismo, de acuerdo a Coindesk, la Fundación Maker restó algo de valor a las declaraciones de Zoltu y dijo que esto sería muy poco probable en base a lo que se conoce acerca de la liquidez de MKR.

Pero Zoltu insiste en que esto no es lo suficientemente seguro. Él dijo: “Ellos [la Fundación Maker] están operando bajo el supuesto de que no hay pools de liquidez “oscuros” disponibles para los atacantes. Esto es, por definición, algo que uno no puede saber.

Ante todo esto, DiarioBitcoin le pregunta a sus lectores, quienes pueden emitir sus opiniones o comentar en el grupo en Telegram:

Reacción rápida de MakerDAO

Como resultado, y a raíz de la denuncia de Zoltu, anoche el medio The Block Crypto informó que la Fundación MakerDAO había anunciado como nueva característica de seguridad, el cambio en una demora de gobierno de 0 a 24 horas para prevenir que atacantes puedan vulnerar el sistema de gobernanza y robar fondos.

En noviembre, DiarioBitcoin informó que MakerDAO propuso aumentar límite de DAI emitidos a 120 millones de unidades.

Por otra parte, en mayo, DiarioBitcoin informó que usuarios de MakerDAO aprobaron reducción en tarifas de estabilidad para préstamos con DAI.

Fuentes: Coinmonks en Medium, Coindesk, The Block Crypto

Reporte de DiarioBitcoin.