MakerDAO está considerando una actualización diseñada para reparar una posible vulnerabilidad de 340 millones de dólares.
El lunes, el desarrollador de software Micah Zoltu publicó un post de Medium, que afirmaba que el costo de un ataque a la red MakerDAO sería de sólo 20 millones de dólares, con un potencial de beneficios de 340 millones de dólares. Después del post, la comunidad de MakerDAO está encuestando a la comunidad sobre una posible solución. Pero, según el equipo de MakerDAO, el problema no se solucionará hasta el viernes.
Entonces, ¿cuál era el vector de ataque?
MakerDAO es una plataforma basada en Ethereum diseñada para dirigir la stablecoin DAI así como otros sistemas integrados dentro del ecosistema de Maker. Como tal, la plataforma emplea el voto on-chain para para gobernar, utilizando encuestas para medir el sentimiento de la comunidad y "votos ejecutivos" para formar propuestas vinculantes.
En esencia, los que tienen el token MakerDAO consiguen que se escuche su opinión, y los que están en la cima consiguen tomar la decisión final, en esencia, teniendo una gran cantidad de control sobre la red.
Zoltu explica que la última versión de MakerDAO (la v2) -también conocida como DAI Multicolateral- fue diseñada con dos salvaguardias: cierre de emergencia y retraso en el gobierno.
El retraso se instaló específicamente para evitar que se produjera un robo masivo debido al dominio de la red. Una vez que se toma una decisión ejecutiva, da a los miembros de la red un período de seguridad en el que pueden comprobar la decisión y estar de acuerdo o no con ella, dependiendo de si fue maliciosa.
Pero aquí está el detonante, el retraso se fijó en 0 segundos, dando a los que están en la red exactamente cero tiempo para hacer algo sobre un ataque malicioso.
Según Zoltu, con 40.000 MKR (aproximadamente 20 millones de dólares), un actor malicioso podría incautar la totalidad de los fondos retenidos en el DAO fabricante -actualmente más de 340 millones de dólares de ETH. Y la red habría sido incapaz de detenerlo.
Él escribió: "Vale la pena señalar que la Fundación Maker podría atacar el sistema de esta manera ahora mismo si así lo quisieran. Lo que es peor, a16z tiene suficiente MKR ahora mismo para ejecutar el ataque a su manera".
Desde el post, y la retroalimentación posterior, MakerDAO ha añadido una encuesta sobre el tema. Si se aprueba, cambiaría la demora a 24 horas, lo que daría tiempo suficiente para que un ataque nefasto sea notado y frustrado.
Actualmente, sólo 31 personas han votado, con un 99% a favor de añadir el retraso. Estas personas representan sólo el cuatro por ciento de la comunidad MakerDAO. Si la encuesta pasa, entonces el arreglo será puesto en vivo el viernes, 13 de diciembre, a las 5 PM UTC. Pero, esta crisis ha planteado preguntas más amplias que un solo artículo no puede resolver.