12 月 9 日,软件开发人士 Micah Zoltu 指出,骇客只要花费约 2,000 万美元就能攻击 MakerDAO 网络,并且可能拿走抵押并锁在 MakerDAO 网络上、价值 3.4 亿美元的以太币。因此,为修补这一潜在漏洞,Maker 基金会已于同日宣布多项与安全相关的治理投票。
据了解,其中一项投票主要询问“Maker 社群是否应将治理安全模组(Governance Security Module,GSM)从 0 秒升级到 24 小时”,旨在预留足够的时间允许网络判定合约的意图。Micah Zoltu 指出,
MakerDAO 的第二版本原本应该是要启动防护机制的,唯有这样才能对抗敌意 MKR 持有者来窃取抵押品,甚至可能在过程中劫走一大块 Uniswap(用于以太坊上自动代币交换的协议)、Compound(去中心化金融借贷协议)以及其他与 Marker 整合的系统。相反的,他们决定不这么做。
Micah Zoltu 解释说,MakerDAO 试着透过在每份新合约被选择后,强迫执行 GSM 延迟,借此减轻恶意攻击的威胁。在这安全期内,该网络可以检查合约,并判定这份合约是否为恶意的。
然而,在这段延后期间,拥有足够资金的恶意人士可能会出现,并且投票支持自己的合约,但合约程式的设计是要窃取所有抵押品的合约。 Zoltu 表示,目前大约要耗费 8 万枚 Maker(MKR),相当约 4,100 万美元,“就能对 Maker 合约为所欲为”。
Zoltu 进一步表示,目前 GSM 延迟的值被设定为 0 秒,这让网络防御部门是几乎不可能防范由拥有许多资金、但恶意的一方所发动的攻击”。
尽管 Zoltu 在部落格贴文指出,Maker 是不会愿意放弃即时的治理控制权来防范这类攻击,不过, Maker 基金会的临时风险团队确实将这个问题列入投票中,询问社群是否要修复这个问题。
如果关于引进 GSM 的提案通过,那么 GSM 的延后时间将从 0 秒提高至 24 小时,让防御部门有充裕时间能回击这类恶意攻击。
区块客致力于发掘和整理各种与区块链技术有关的内容,只要与区块链或区块客网站有关的合作和/或建议,我们都非常欢迎。请您发电邮至 [email protected] 与我们联系。
