如果有办法能够掏空Maker协议中所有的ETH呢?
这些加密货币总市值约3亿美元,金额巨大。即使这样做将导致价格下跌一半甚至三分之二,但试图掏空Maker协议中的以太坊仍然值得一试。
独立软件开发者、去中心化预测市场Augur最早期白皮书的共同作者之一的迈卡·佐尔图(Micah Zoltu),在周一发表了一篇博客文章中阐述了对MakerDAO的攻击,他认为,这可能会掏空系统中的所有ETH(用户将 ETH 锁定在 Maker 协议中,以产生与美元挂钩的稳定币 DAI)。
佐尔图写道,问题在于如何治理Maker :“一些财阀可以控制系统的行为。”
只有少数的MKR巨鲸想迅速采取行动,这种攻击才是可行的。佐尔图说,只要 40,000 MKR 就足以将一次攻击变得复杂化了。截至本文撰写之时,基于 Maker 投票系统的抵押机制,拥有 48,400 MKR 就可以立即完成一次攻击。(CoinDesk 中文版注:巨鲸账户指的是持仓量较大的账户,通常该账户的交易行为能对市场交易价格产生影响。据区块链调查机构 Chainalysis 定义,巨鲸账户指的是钱包账户金额排名前500的持有者)
因此,需要价值 2,000 万到 2,500 万美元的加密货币来发起攻击。假设一个人积累 MKR 不会推高其价格,是不太可能的。
佐尔图写道:“值得一提的是,如果他们愿意的话,Maker 基金会现在就可以这种方式攻击系统。更糟糕的是,风险投资机构 a16z 目前已经拥有足够数量的 MKR,足以展开一次攻击!”
除了重度参与该以太坊重磅 DeFi 项目的投资方,筹集到足够多的MKR来发动攻击并不容易。
风险投资机构 Pantera Capital 合伙人乔伊·克鲁格(Joey Krug)在听取了有关脆弱性的简报后表示:“我觉得这至少会让价格翻番。如果你愿意支付双倍的市场价格,可能会有很多大户在 OTC 场外交易市场出售给你。”
克鲁格表示,但在公开市场上,这一价格将“变得疯狂,将是目前价格的数倍”。
但前提是,攻击者必须从零 MKR 开始。因此,首先让我们来看看佐尔图关于攻击的描述,然后再看看基金会对此的反对意见。
如何 *** 作
Maker 协议由 MKR 代币进行治理。
目前 MKR 总量约有一百万枚,其中一部分被销毁了。Maker 基金会仍然控制着几十万枚,在其财政部以及托管的智能合约中。
截至本文撰写时,一枚 MKR 的价格约为 510 美元。日交易量波动很大,最近日交易量大约为 400 万至 1,000 万枚 MKR。
任何 MKR 持有者,都可以提出一个可以更改任意数量参数的方案作为协议的智能合约。Maker 采用连续性治理,可以对条款更改随时进行投票。
目前这一点尤为重要,因为该系统刚刚进行了重大升级,实现了多抵押品 DAI 和 DAI 存款利率。这个新升级是协议的全新版本,因此现在存在两个类型的 DAI,用户被要求将他们持有旧类型的 DAI(现在被称为 SAI )转换为新的类型。
新系统进行了一些重要的安全性方面的更改,例如,将投票通过更改生效所需的时间推迟,以及关于紧急关闭系统的条款。
佐尔图所提到的攻击能够实施,是因为系统存在一个最大的弱点,即当前治理延迟的参数为零秒。也就是说,任何通过投票的治理条款都会立即生效。
Maker 基金会的工程主管沃特在·坎普曼(Wouter Kampmann)说,MakerDAO 社区已经针对这一点进行了详细讨论,他们决定是,目前最好是零延迟,同时决定了哪些类型的更改应该能够绕过延迟,哪些类型的更改应该仍然存在延迟。
坎普曼说:“这对于找到问题来说有着至关重要的意义”。
不过,佐尔图认为,只要在那里,锁仓在 MakerDAO 的资金“就不是绝对安全的”。
在与 CoinDesk 的对话中,坎普曼说,这并不是说, 目前 MakerDAO 中作为抵押品持有的所有 ETH,都可以直接被转移到攻击者控制的钱包里。
“无需允许、不可阻挡的代码的工作方式是,特定的业务逻辑决定了与合约交互的规则,而这些规则是不可更改的”,坎普曼说。
佐尔图承认,这需要智慧和计划,但在这一点上,记得 DAO黑客事件的读者们可能正经历着熟悉的恐惧,虽然大家对威胁容忍度可能有所不同。
留给佐尔图描述的攻击类型的时间不多了。坎普曼预计,治理延迟(governance delay)预计可能在明年 1 月份的时候显著增加。
但重要的是要注意,这个决定不取决于他(坎普曼)或基金会的工作人员。
另外一方面
坎普曼说:“你无法忽视它的经济模型,而这套经济模型的问题出在激励模型上”。
现在有少数巨鲸大户拥有足够的 MKR 来执行这次攻击,但它们基本上不可能这样做。这将为以太坊带来冲击,如果他们持有那么多 MKR,他们在其他资产上的损失,可能会超过盗窃 ETH 的收益( ETH 的价值也可能会下降)。
坎普曼认为,最重要的是,那些关注保护协议安全的 MKR 持有者,可以把他们的 MKR 抵押在选票上。抵押越多,攻击的代价就越高,现在有很多MKR 还未抵押。
克鲁格对加密货币投资者非常熟悉,他承认 MKR 巨鲸们可能是善意的,但他也表示,“我们也不能肯定这一点”。
然而,有超过 16,000 个持有 MKR 的 ETH 地址。如果一群小巨鲸们,能够在没有被警告的情况下,跟MakerDAO 社区进行勾结,它们或许能够在不引起价格波动的情况下,获得足够多的代币。
Maker基金会表示,根据对 MKR 流动性的了解,这是不太可能的。也就是说,MKR 并没有这么多交易量。
但佐尔图坚称,这还是不够安全。他说,“他们 [Maker 基金会] 的运作假设是,攻击者没有可用的流动性暗池。从定义上讲,这是一件人们不可知的事。”
责任编辑;zl
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)