-
La nueva propuesta de seguridad serรก discutida y votada en el portal de gobernanza de MakerDAO.
-
La vulnerabilidad fue introducida con la actualizaciรณn a Dai Multicolateral (MCD).
MakerDAO anunciรณ este lunes 9 de diciembre que presentรณ una nueva propuesta de seguridad a ser discutida y votada por la comunidad, con el objetivo de introducir en su protocolo un retraso de 24 horas en la ejecuciรณn de contratos que hacen efectiva la gobernanza de la red, despuรฉs de que un desarrollador independiente advirtiera sobre una vulnerabilidad que podrรญa comprometer la totalidad de los fondos colaterales en ETH, con un valor de USD 340 millones.
Micah Zoltu publicรณ en su blog en Medium este lunes que cualquier persona con una cantidad sustancial de tokens MKR podrรญa programar un contrato ejecutivo para transferir todos los fondos colaterales de Maker a su cuenta, votar inmediatamente y activar el contrato, dado que en el modelo de gobernanza de la nueva plataforma multicolateral de DAO no se contempla ningรบn retraso que permita a otros usuarios examinar e invalidar un contrato ejecutivo malicioso.
El problema es que la Fundaciรณn Maker decidiรณ que el valor apropiado para esta demora en la gobernanza es 0 segundos. Tal como lo lee, los defensores tienen 0 segundos para defenderse de un ataque lanzado por un acaudalado pero malicioso actor.
Micah Zoltu, desarrollador independiente.
Como en este momento hay alrededor de 80.000 MKR (equivalente a USD 41 millones) en juego en el contrato ejecutivo, dice Zoltu, cualquiera que tenga mรกs de esta cantidad de tokens puede adelantar cualquier propuesta Pero ademรกs, argumenta Zoltu, estos tokens podrรญan dividirse potencialmente entre dos contratos cada uno con 40.000 MKR, de modo que si los atacantes encuentran el momento adecuado, podrรญan robar todos los fondos colaterales del sistema con solo alrededor de USD 20 millones.
Demora prevista
El retraso en la gobernanza estรก previsto en el protocolo de la nueva versiรณn de Dai, la plataforma denominada DAI Multi-Colateral (MCD), con un proceso de migraciรณn que se iniciรณ el pasado 18 de noviembre.
De acuerdo el anuncio de MakerDAO, dicha demora se fijรณ en cero segundos para dar capacidad a los miembros de la comunidad para ejecutar contratos inmediatamente en caso de contingencia, y asรญ lo explica en su anuncio de la nueva propuesta que modifica la gobernanza.
Desde el lanzamiento de MCD, la demora ha sido fijada en 0 segundos. Esto permitรญa a la comunidad tomar acciones inmediatas o mitigar errores tรฉcnicos, funciones inadecuadas de los orรกculos o casos como un pรกnico de mercado o un ataque econรณmico.
Fundaciรณn MakerDAO.
Luego, MakerDAO se refiere a la publicaciรณn de Zoltu y admite que esta ยซda detalles sobre una serie de eventos que pudiesen llevar a un ataque del sistema de gobernanzaยป. Segรบn MakerDAO, la comunidad habรญa considerado la posibilidad de un ataque de ese tipo pero no lo veรญa como un problema inmediato.
Sin embargo, la probabilidad de este ataque creciรณ debido a la publicidad potencial del mencionado blog. Por esta razรณn, a la comunidad se le presenta una propuesta de seguridad para mitigar este ataque hipotรฉtico, lo cual lleva a los debates acostumbrados y a los procesos de bรบsqueda de consenso.
Fundaciรณn MakerDAO.
Despuรฉs de la introducciรณn este lunes del Mรณdulo de Seguridad de la Gobernanza, se permitirรก a la comunidad discutir y decidir sobre el cambio que se podrรญa hacer respecto al retraso de 24 horas para la ejecuciรณn de contratos ejecutivos, de acuerdo a lo propuesto por la Fundaciรณn MakerDAO.