Hechos clave:
-
En diciembre el ingeniero Zoltu denunciĆ³ un error que permitĆa robar todos los fondos de MakerDAO.
-
La gobernanza de MakerDAO decidiĆ³ no realizar ningĆŗn cambio para aumentar los niveles de seguridad.
MakerDAO aĆŗn es vulnerable a un ataque para sustraer fondos, luego que en votaciĆ³n la comunidad no aprobara aumentar su seguridad. Mariano Conti, director de contratos inteligentes de MakerDAO, seƱalĆ³ que la votaciĆ³n posiblemente se volverĆ” a realizar en el futuro.
MakerDAO presentĆ³ a inicios del mes de diciembre una propuesta para incluir un retraso de 24 horas en la ejecuciĆ³n de contratos de gobernanza. La propuesta fue introducida luego que el ingeniero en software, Micah Zoltu, seƱalara que la red posee una vulnerabilidad grave que permite robar los fondos de los usuarios.
Zoltu seƱalĆ³ que, debido a la migraciĆ³n al DAI multicolateral, se desactivaron medidas de seguridad en la gobernanza de la red que son vitales para evitar un robo. Por ejemplo, la plataforma posee un mecanismo para mitigar a los actores maliciosos, imponiendo un tiempo de retraso para ejecutar cualquier acciĆ³n de gobernanza. Sin embargo, los desarrolladores decidieron estipular dicho retraso en 0 segundos, por lo cual ningĆŗn usuario o autoridad tiene tiempo para reaccionar a un posible ataque interno.
Zoltu considera que un titular con unos 80.000 MKR puede crear un contrato ejecutivo para transferirse todas las garantĆas de DAI y ejecutarlo. De esta manera, invirtiendo mĆ”s de 20 millones de dĆ³lares en un contrato, un atacante puede tener acceso a unos 340 millones de dĆ³lares en DAI y SAI. Asimismo, un actor malicioso tambiĆ©n podrĆa atacar a plataformas como Compound o Uniswap bajo esta misma tĆ©cnica. Es decir, adquiriendo la gobernanza de la red y sin opciones para mitigar daƱos, un criminal puede hacerse con los fondos de MakerDAO.
La advertencia pĆŗblica llamĆ³ la atenciĆ³n del gobierno de MakerDAO, quienes decidieron llamar a votaciĆ³n para que la comunidad decidiera aumentar el retraso de 0 segundos a 24 horas. No obstante, Conti seƱalĆ³ para medios de comunicaciĆ³n que la propuesta no fue votada; posiblemente por las fechas festivas y la falta de informaciĆ³n sobre este caso.
My guess, a combination of holidays + once we better explained *why* we started with 0 delay, some people felt it was the right call. Can't tell for sure and I haven't analyzed voting data.
Doesn't mean it won't be voted on again.
— š¹Mariano Conti | conti.eth (@nanexcool) January 3, 2020
Temor y tensiones
Aunque ha sido la comunidad quien no aprobĆ³ la correcciĆ³n del error, la posibilidad que una vulnerabilidad de este tipo se encuentre activa en la plataforma ha avivado el temor y las tensiones. El pasado 20 de septiembre la FundaciĆ³n Maker anunciĆ³ la venta de mĆ”s del 5% del suministro total de MKR aĀ dos firmas de capital de riesgo.
Dragonfly Capital Partners y Paradigm adquirieron unos 27,5 millones de dĆ³lares en MKR, cifra que generĆ³ revuelo en las redes sociales. El bitcoiner Udi Wertheimer destacĆ³ esta compra, puesto que con un nĆŗmero similar de MKR un actor malicioso puede iniciar un ataque en la red. El tuit sugiere que, aunque la red se mantiene vulnerable, el mercado de DAI sigue funcionando sin considerar los riesgos.
On Dec 9th @MicahZoltu described how anyone holding ~$20M in $MKR can STEAL ALL MAKERDAO FUNDS.
Hours later Maker announced itāll hold a vote to close that hole.
Turns out the vote DIDNāT PASS, Maker is still vulnerable.
On Dec 19th Maker announced the sale of $27.5m in MKR š¤ https://t.co/njsJB40lF5 pic.twitter.com/NWB5dd5LEF
— Udi Wertheimer (@udiWertheimer) January 3, 2020
Mientras algunos usuarios esperan explicaciones de MakerDAO y nuevas votaciones, otros han seƱalado que no seguirĆ”n utilizando DAI hasta que la vulnerabilidad sea solucionada. Micah Zoltu, en respuesta a propietarios angustiados, recomendĆ³ no depositar una gran cantidad de capital en la plataforma mientras se mantenga el error.
