-
En diciembre el ingeniero Zoltu denunciรณ un error que permitรญa robar todos los fondos de MakerDAO.
-
La gobernanza de MakerDAO decidiรณ no realizar ningรบn cambio para aumentar los niveles de seguridad.
MakerDAO aรบn es vulnerable a un ataque para sustraer fondos, luego que en votaciรณn la comunidad no aprobara aumentar su seguridad. Mariano Conti, director de contratos inteligentes de MakerDAO, seรฑalรณ que la votaciรณn posiblemente se volverรก a realizar en el futuro.
MakerDAO presentรณ a inicios del mes de diciembre una propuesta para incluir un retraso de 24 horas en la ejecuciรณn de contratos de gobernanza. La propuesta fue introducida luego que el ingeniero en software, Micah Zoltu, seรฑalara que la red posee una vulnerabilidad grave que permite robar los fondos de los usuarios.
Zoltu seรฑalรณ que, debido a la migraciรณn al DAI multicolateral, se desactivaron medidas de seguridad en la gobernanza de la red que son vitales para evitar un robo. Por ejemplo, la plataforma posee un mecanismo para mitigar a los actores maliciosos, imponiendo un tiempo de retraso para ejecutar cualquier acciรณn de gobernanza. Sin embargo, los desarrolladores decidieron estipular dicho retraso en 0 segundos, por lo cual ningรบn usuario o autoridad tiene tiempo para reaccionar a un posible ataque interno.
Zoltu considera que un titular con unos 80.000 MKR puede crear un contrato ejecutivo para transferirse todas las garantรญas de DAI y ejecutarlo. De esta manera, invirtiendo mรกs de 20 millones de dรณlares en un contrato, un atacante puede tener acceso a unos 340 millones de dรณlares en DAI y SAI. Asimismo, un actor malicioso tambiรฉn podrรญa atacar a plataformas como Compound o Uniswap bajo esta misma tรฉcnica. Es decir, adquiriendo la gobernanza de la red y sin opciones para mitigar daรฑos, un criminal puede hacerse con los fondos de MakerDAO.
La advertencia pรบblica llamรณ la atenciรณn del gobierno de MakerDAO, quienes decidieron llamar a votaciรณn para que la comunidad decidiera aumentar el retraso de 0 segundos a 24 horas. No obstante, Conti seรฑalรณ para medios de comunicaciรณn que la propuesta no fue votada; posiblemente por las fechas festivas y la falta de informaciรณn sobre este caso.
My guess, a combination of holidays + once we better explained *why* we started with 0 delay, some people felt it was the right call. Can't tell for sure and I haven't analyzed voting data.
Doesn't mean it won't be voted on again.
— mariano.eth | ๐ฆ๐ (@nanexcool) January 3, 2020
Temor y tensiones
Aunque ha sido la comunidad quien no aprobรณ la correcciรณn del error, la posibilidad que una vulnerabilidad de este tipo se encuentre activa en la plataforma ha avivado el temor y las tensiones. El pasado 20 de septiembre la Fundaciรณn Maker anunciรณ la venta de mรกs del 5% del suministro total de MKR aย dos firmas de capital de riesgo.
Dragonfly Capital Partners y Paradigm adquirieron unos 27,5 millones de dรณlares en MKR, cifra que generรณ revuelo en las redes sociales. El bitcoiner Udi Wertheimer destacรณ esta compra, puesto que con un nรบmero similar de MKR un actor malicioso puede iniciar un ataque en la red. El tuit sugiere que, aunque la red se mantiene vulnerable, el mercado de DAI sigue funcionando sin considerar los riesgos.
On Dec 9th @MicahZoltu described how anyone holding ~$20M in $MKR can STEAL ALL MAKERDAO FUNDS.
Hours later Maker announced itโll hold a vote to close that hole.
Turns out the vote DIDNโT PASS, Maker is still vulnerable.
On Dec 19th Maker announced the sale of $27.5m in MKR ๐ค https://t.co/njsJB40lF5 pic.twitter.com/NWB5dd5LEF
— Udi | BIP-420 ๐ฑ (@udiWertheimer) January 3, 2020
Mientras algunos usuarios esperan explicaciones de MakerDAO y nuevas votaciones, otros han seรฑalado que no seguirรกn utilizando DAI hasta que la vulnerabilidad sea solucionada. Micah Zoltu, en respuesta a propietarios angustiados, recomendรณ no depositar una gran cantidad de capital en la plataforma mientras se mantenga el error.
