La vulnerabilità "critica" di MakerDAO avrebbe potuto congelare i fondi degli elettori, affermano i revisori

Secondo la società di audit di sicurezza Zeppelin, una vulnerabilità critica sulla piattaforma di prestito programmatico MakerDAO avrebbe potuto rendere irrecuperabili i fondi degli utenti.

Scoperto nelle ultime settimane, MakerDAO ha emesso lunedì un appello urgente ai possessori di token della piattaforma MakerDAO, scrivendo suReddit:

"In collaborazione con Coinbase e Zeppelin, la Maker Foundation ha partecipato a un secondo round di audit del Maker Voting Contract. Durante questo processo, abbiamo scoperto la necessità di effettuare un aggiornamento critico... Ti consigliamo di spostare immediatamente il tuo MKR dal vecchio contratto al tuo portafoglio personale."

All'epoca, i detentori di token MKR non furono informati sulla natura esatta del problema, poiché la vulnerabilità avrebbe potuto comunque essere sfruttata da un aggressore se divulgata.

Giovedì, gli Zeppelin hanno rilasciatouna completa Dichiarazione informativadelineando come la vulnerabilità avrebbe potuto spostare i token utente e bloccarli in modo permanente all'interno del contratto di voto MakerDAO. Secondo il documento, la vulnerabilità è stata scoperta e analizzata tra il 22 e il 26 aprile, momento in cui il team MakerDAO è stato informato, con un contratto fisso soggetto a un audit il 2 maggio.

Un post separato sul subreddit MakerDAO ha discusso la vulnerabilità einformazioni condivise sul nuovo contratto di voto senza compromessi. "A causa dell'exploit, la consueta cadenza settimanale di Governance Polling e Executive Voting è stata sospesa, in quanto i titolari MKR hanno abbandonato il vecchio contratto", ha spiegato il post.

Facendo un passo indietro, MakerDAO è la piattaforma di prestito preminente per la popolare stablecoin DAI ancorata al dollaro. MakerDAO è anche una piattaforma di governance decentralizzata attraverso la quale i detentori di token MKR hanno il potere di votare ed eseguire modifiche al protocollo di prestito DAI .

"Il sistema di governance di MakerDAO funziona in questo modo: ci sono diverse proposte codificate come indirizzi Ethereum e le persone possono votare per ONE o per l'altra bloccando i loro token MKR nel contratto di voto principale", ha spiegato il responsabile della ricerca presso Zeppelin Alejo Salles a CoinDesk.

In sostanza, la vulnerabilità rivelata dal team Zeppelin ha messo a repentaglio i token MKR detenuti nel contratto di voto MakerDAO. Un aggressore avrebbe potuto ipoteticamente spostare i token puntati a favore di ONE proposta di governance MakerDAO su un'altra proposta concorrente e bloccarli per sempre.

Salles ha sottolineato a CoinDesk che i token MKR non potevano essere ritirati dal contratto di voto MakerDAO, ma semplicemente bloccati e spostati.

Ulteriori verifiche

Per quanto ne sa Zeppelin, questa vulnerabilità T è stata sfruttata sulla piattaforma MakerDAO.

Tuttavia, Salles ha osservato che aveva il potenziale per congelare di fatto 100 milioni di dollari in token MKR detenuti nel contratto di voto originale di MakerDAO.

"Questo contratto era molto centrale nel sistema MakerDAO. Aveva privilegi su molte altre cose", fa notare Salles a CoinDesk. "La sicurezza è molto delicata nel settore Cripto e in questo caso è stato possibile perché il team MakerDAO ha ancora fondi sufficienti per apportare la modifica".

In effetti, la fondazione non-profit MakerDAO Foundation detiene di gran lunga la quota maggiore di token MKR , con oltre il 25 percento della fornitura totale di 1 milione. Data la natura altamente sensibile della vulnerabilità di sicurezza, la fondazione MakerDAO ha sfruttato i fondi a sua disposizione per eseguire segretamente un cambio di stato senza una più ampia consapevolezza pubblica.

"In un sistema più decentralizzato, che è ciò che MakerDAO sarà nel NEAR futuro, questo sarebbe stato molto peggio", avverte Salles. "Perché devi coordinare tutte queste persone ma allo stesso tempo non aumentare troppa consapevolezza di ciò che sta accadendo. È un po' impossibile".

Il codice alla base del contratto di voto MakerDAO fa parte di una libreria di codice più ampia, completamente ispezionata nel 2017 dalla società di sicurezza Trail of Bits.

Alla domanda se Trail of Bits fosse a conoscenza della vulnerabilità divulgata oggi, il CEO Dan Guido ha affermato di no, aggiungendo però che dal 2017 "ci sono stati molti commit su quel codice specifico e su molte delle sue dipendenze".

Trail of Bits questo mese ha completato un nuovo audit sul codice MakerDAO tanto atteso per supportare DAI multi-collaterale.Come ha detto Guido a CoinDesk:

"Nel corso della nostra valutazione di DAI multi-collaterale, abbiamo scoperto due problemi di sicurezza di bassa gravità che sono sfuggiti all'identificazione tramite verifica. Il primo problema è sfuggito alla verifica a causa della dipendenza dell'attacco dal passare del tempo per realizzarlo. Il secondo problema era di natura economica e descriveva una strategia di attacco per abusare del sistema in base al suo comportamento corretto. Questi problemi sono stati risolti immediatamente da MakerDAO."

Diligenza dovuta

La revisione secondaria del contratto di voto MakerDAO da parte di Zeppelin è stata in realtà appaltata dall'exchange Criptovaluta Coinbase. Coinbase ha per qualche volta ha pianificato di abilitare un'interfaccia fluida con la piattaforma di voto MakerDAO per i possessori di token MKR .

"Abbiamo guidato l'audit come parte del nostro processo di due diligence nel supportare la capacità di voto MakerDAO all'interno del prodotto Coinbase Custody", ha affermato Alan Leung, responsabile della sicurezza per Coinbase Custody.

Leung ha spiegato che i clienti di Coinbase che detengono token MKR non si sentivano a loro agio nell'interagire direttamente con il protocollo di voto MakerDAO, dato che "T conoscevano il rischio o i rischi superavano l'atto della partecipazione".

Secondo Leung, parte degli sforzi di Coinbase nel supportare un audit di terze parti del codice di contatto per il voto di MakerDAO era quello di garantire che le funzionalità sviluppate su Coinbase per interfacciarsi con MakerDAO fossero sicure.

"La nostra visione è quella di fornire ai nostri clienti un canale sicuro per la partecipazione alla rete e, come parte di questo processo, abbiamo approfondito il funzionamento del contratto MakerDAO e il funzionamento del voto", ha affermato Leung a CoinDesk.

Dopo che la vulnerabilità è stata divulgata e risolta, Leung ha confermato a CoinDesk che l'intenzione di lanciare la funzionalità di voto MKR su Coinbase Custody rimane invariata.

"Abbiamo fatto i compiti per assicurarci che [la nostra interfaccia] sia il modo più sicuro per partecipare alla rete MakerDAO perché stiamo mettendo la nostra etichetta dietro l'azione", ha detto a CoinDesk.

Serraturaimmagine tramite Shutterstock