Hechos clave:
-
La nueva propuesta de seguridad será discutida y votada en el portal de gobernanza de MakerDAO.
-
La vulnerabilidad fue introducida con la actualización a Dai Multicolateral (MCD).
MakerDAO anunció este lunes 9 de diciembre que presentó una nueva propuesta de seguridad a ser discutida y votada por la comunidad, con el objetivo de introducir en su protocolo un retraso de 24 horas en la ejecución de contratos que hacen efectiva la gobernanza de la red, después de que un desarrollador independiente advirtiera sobre una vulnerabilidad que podría comprometer la totalidad de los fondos colaterales en ETH, con un valor de USD 340 millones.
Micah Zoltu publicó en su blog en Medium este lunes que cualquier persona con una cantidad sustancial de tokens MKR podría programar un contrato ejecutivo para transferir todos los fondos colaterales de Maker a su cuenta, votar inmediatamente y activar el contrato, dado que en el modelo de gobernanza de la nueva plataforma multicolateral de DAO no se contempla ningún retraso que permita a otros usuarios examinar e invalidar un contrato ejecutivo malicioso.
El problema es que la Fundación Maker decidió que el valor apropiado para esta demora en la gobernanza es 0 segundos. Tal como lo lee, los defensores tienen 0 segundos para defenderse de un ataque lanzado por un acaudalado pero malicioso actor.
Micah Zoltu, desarrollador independiente.
Como en este momento hay alrededor de 80.000 MKR (equivalente a USD 41 millones) en juego en el contrato ejecutivo, dice Zoltu, cualquiera que tenga más de esta cantidad de tokens puede adelantar cualquier propuesta Pero además, argumenta Zoltu, estos tokens podrían dividirse potencialmente entre dos contratos cada uno con 40.000 MKR, de modo que si los atacantes encuentran el momento adecuado, podrían robar todos los fondos colaterales del sistema con solo alrededor de USD 20 millones.
Demora prevista
El retraso en la gobernanza está previsto en el protocolo de la nueva versión de Dai, la plataforma denominada DAI Multi-Colateral (MCD), con un proceso de migración que se inició el pasado 18 de noviembre.
De acuerdo el anuncio de MakerDAO, dicha demora se fijó en cero segundos para dar capacidad a los miembros de la comunidad para ejecutar contratos inmediatamente en caso de contingencia, y así lo explica en su anuncio de la nueva propuesta que modifica la gobernanza.
Desde el lanzamiento de MCD, la demora ha sido fijada en 0 segundos. Esto permitía a la comunidad tomar acciones inmediatas o mitigar errores técnicos, funciones inadecuadas de los oráculos o casos como un pánico de mercado o un ataque económico.
Fundación MakerDAO.
Luego, MakerDAO se refiere a la publicación de Zoltu y admite que esta «da detalles sobre una serie de eventos que pudiesen llevar a un ataque del sistema de gobernanza». Según MakerDAO, la comunidad había considerado la posibilidad de un ataque de ese tipo pero no lo veía como un problema inmediato.
Sin embargo, la probabilidad de este ataque creció debido a la publicidad potencial del mencionado blog. Por esta razón, a la comunidad se le presenta una propuesta de seguridad para mitigar este ataque hipotético, lo cual lleva a los debates acostumbrados y a los procesos de búsqueda de consenso.
Fundación MakerDAO.
Después de la introducción este lunes del Módulo de Seguridad de la Gobernanza, se permitirá a la comunidad discutir y decidir sobre el cambio que se podría hacer respecto al retraso de 24 horas para la ejecución de contratos ejecutivos, de acuerdo a lo propuesto por la Fundación MakerDAO.
