Hechos clave:
- En diciembre el ingeniero Zoltu denunció un error que permitía robar todos los fondos de MakerDAO.
- La gobernanza de MakerDAO decidió no realizar ningún cambio para aumentar los niveles de seguridad.
MakerDAO aún es vulnerable a un ataque para sustraer fondos, luego que en votación la comunidad no aprobara aumentar su seguridad. Mariano Conti, director de contratos inteligentes de MakerDAO, señaló que la votación posiblemente se volverá a realizar en el futuro.
MakerDAO presentó a inicios del mes de diciembre una propuesta para incluir un retraso de 24 horas en la ejecución de contratos de gobernanza. La propuesta fue introducida luego que el ingeniero en software, Micah Zoltu, señalara que la red posee una vulnerabilidad grave que permite robar los fondos de los usuarios.
Zoltu señaló que, debido a la migración al DAI multicolateral, se desactivaron medidas de seguridad en la gobernanza de la red que son vitales para evitar un robo. Por ejemplo, la plataforma posee un mecanismo para mitigar a los actores maliciosos, imponiendo un tiempo de retraso para ejecutar cualquier acción de gobernanza. Sin embargo, los desarrolladores decidieron estipular dicho retraso en 0 segundos, por lo cual ningún usuario o autoridad tiene tiempo para reaccionar a un posible ataque interno.
Zoltu considera que un titular con unos 80.000 MKR puede crear un contrato ejecutivo para transferirse todas las garantías de DAI y ejecutarlo. De esta manera, invirtiendo más de 20 millones de dólares en un contrato, un atacante puede tener acceso a unos 340 millones de dólares en DAI y SAI. Asimismo, un actor malicioso también podría atacar a plataformas como Compound o Uniswap bajo esta misma técnica. Es decir, adquiriendo la gobernanza de la red y sin opciones para mitigar daños, un criminal puede hacerse con los fondos de MakerDAO.
La advertencia pública llamó la atención del gobierno de MakerDAO, quienes decidieron llamar a votación para que la comunidad decidiera aumentar el retraso de 0 segundos a 24 horas. No obstante, Conti señaló para medios de comunicación que la propuesta no fue votada; posiblemente por las fechas festivas y la falta de información sobre este caso.
My guess, a combination of holidays + once we better explained *why* we started with 0 delay, some people felt it was the right call. Can't tell for sure and I haven't analyzed voting data.
Doesn't mean it won't be voted on again.
— 👹Mariano Conti | conti.eth (@nanexcool) January 3, 2020
Temor y tensiones
Aunque ha sido la comunidad quien no aprobó la corrección del error, la posibilidad que una vulnerabilidad de este tipo se encuentre activa en la plataforma ha avivado el temor y las tensiones. El pasado 20 de septiembre la Fundación Maker anunció la venta de más del 5% del suministro total de MKR a dos firmas de capital de riesgo.
Dragonfly Capital Partners y Paradigm adquirieron unos 27,5 millones de dólares en MKR, cifra que generó revuelo en las redes sociales. El bitcoiner Udi Wertheimer destacó esta compra, puesto que con un número similar de MKR un actor malicioso puede iniciar un ataque en la red. El tuit sugiere que, aunque la red se mantiene vulnerable, el mercado de DAI sigue funcionando sin considerar los riesgos.
On Dec 9th @MicahZoltu described how anyone holding ~$20M in $MKR can STEAL ALL MAKERDAO FUNDS.
Hours later Maker announced it’ll hold a vote to close that hole.
Turns out the vote DIDN’T PASS, Maker is still vulnerable.
On Dec 19th Maker announced the sale of $27.5m in MKR 🤔 https://t.co/njsJB40lF5 pic.twitter.com/NWB5dd5LEF
— Udi Wertheimer (@udiWertheimer) January 3, 2020
Mientras algunos usuarios esperan explicaciones de MakerDAO y nuevas votaciones, otros han señalado que no seguirán utilizando DAI hasta que la vulnerabilidad sea solucionada. Micah Zoltu, en respuesta a propietarios angustiados, recomendó no depositar una gran cantidad de capital en la plataforma mientras se mantenga el error.
