Аудиторы утверждают, что «критическая» уязвимость MakerDAO могла привести к заморозке средств избирателей

По данным аудиторской компании Zeppelin, критическая уязвимость платформы программного кредитования MakerDAO могла сделать средства пользователей невозвратными.

Обнаруженная в последние несколько недель компания MakerDAO в понедельник обратилась с настоятельным призывом к держателям токенов платформы MakerDAO, написав наРеддит:

«В партнерстве с Coinbase и Zeppelin Maker Foundation участвует во втором раунде аудита контракта голосования Maker . В ходе этого процесса мы обнаружили необходимость внести критическое обновление... Вам рекомендуется немедленно перевести MKR из старого контракта обратно в ваш личный кошелек».

В то время держатели токенов MKR не были проинформированы о точной сути проблемы, поскольку уязвимость все равно могла быть использована злоумышленником в случае ее раскрытия.

В четверг Zeppelin выпустилиполное Раскрытие информацииописывая, как уязвимость могла переместить пользовательские токены и заблокировать их навсегда в контракте голосования MakerDAO. Согласно документу, уязвимость была обнаружена и проанализирована в период с 22 по 26 апреля, после чего команда MakerDAO была проинформирована, а фиксированный контракт подлежал аудиту 2 мая.

В отдельном посте на сабреддите MakerDAO обсуждалась уязвимость иобщая информация о новом и бескомпромиссном контракте на голосование. «Из-за эксплойта обычная еженедельная каденция опросов по вопросам управления и голосования руководителей была приостановлена, поскольку держатели MKR перешли из старого контракта», — поясняется в сообщении.

Возвращаясь назад, MakerDAO — это ведущая кредитная платформа для популярного стейблкоина DAI, привязанного к доллару. MakerDAO также является децентрализованной платформой управления, посредством которой держатели токенов MKR имеют право голосовать и вносить изменения в кредитный протокол DAI .

«Система управления MakerDAO работает следующим образом: существует несколько предложений, закодированных в виде адресов Ethereum , и люди могут голосовать за ONE или другое, заблокировав свои токены MKR в главном контракте голосования», — объяснил руководитель исследований Zeppelin Алехо Саллес изданию CoinDesk.

По сути, уязвимость, раскрытая командой Zeppelin, поставила под угрозу токены MKR , удерживаемые в контракте голосования MakerDAO. Злоумышленник мог гипотетически переместить токены, поставленные в пользу ONE предложения по управлению MakerDAO, в другое конкурирующее предложение и заблокировать их на месте навсегда.

Саллес подчеркнул в CoinDesk, что токены MKR нельзя вывести из контракта голосования MakerDAO, их можно просто заблокировать и переместить.

Больше аудитов

Насколько известно Zeppelin, эта уязвимость на платформе MakerDAO T эксплуатировалась.

Однако Саллес отметил, что у него есть потенциал фактически заморозить токены MKR на сумму 100 миллионов долларов, удерживаемые в первоначальном контракте на голосование MakerDAO.

«Этот контракт был очень важным в системе MakerDAO. Он имел привилегии по сравнению со многими другими вещами», — отмечает Саллес в интервью CoinDesk. «Безопасность очень чувствительна в Криптo , и в этом случае это стало возможным, потому что у команды MakerDAO все еще достаточно средств, чтобы внести изменения».

Действительно, некоммерческая организация MakerDAO Foundation владеет наибольшей долей токенов MKR , более 25 процентов от общего объема в 1 миллион. Учитывая крайне деликатный характер уязвимости безопасности, MakerDAO Foundation использовала имеющиеся в ее распоряжении средства, чтобы тайно осуществить изменение состояния без широкой осведомленности общественности.

«В более децентрализованной системе, какой MakerDAO станет в NEAR будущем, это было бы намного хуже», — предупреждает Саллес. «Потому что вам нужно координировать всех этих людей, но в то же время не повышать слишком большую осведомленность о том, что происходит. Это как-то невозможно».

Код, лежащий в основе контракта голосования MakerDAO, является частью более крупной библиотеки кода, которая была полностью проверена еще в 2017 году компанией Trail of Bits, занимающейся безопасностью.

На вопрос о том, знала ли компания Trail of Bits об уязвимости, раскрытой сегодня, генеральный директор Дэн Гвидо подтвердил, что не знала, но добавил, что с 2017 года «было сделано много изменений в этом конкретном коде и во многих его зависимостях».

В этом месяце Trail of Bits завершила новый аудит долгожданного кода MakerDAO для поддержки многозалоговый DAI.Как сказал Гвидо CoinDesk:

«В ходе нашей оценки многостороннего DAI мы обнаружили две проблемы безопасности низкой степени серьезности, которые не удалось идентифицировать с помощью проверки. Первая проблема не поддалась проверке из-за того, что атака зависела от времени для ее осуществления. Вторая проблема носила экономический характер и описывала стратегию атаки с целью злоупотребления системой на основе ее корректного поведения. Эти проблемы были немедленно устранены MakerDAO».

Юридическая экспертиза

Вторичный аудит контракта голосования MakerDAO компанией Zeppelin был фактически заказан Криптовалюта биржей Coinbase. Coinbase имеет для некоторое время планировалось обеспечить бесперебойный интерфейс с платформой голосования MakerDAO для держателей токенов MKR .

«Мы провели аудит в рамках нашей процедуры комплексной проверки для поддержки возможности голосования MakerDAO в продукте Coinbase Custody», — сказал Алан Люн, руководитель службы безопасности Coinbase Custody.

Льюнг объяснил, что клиентам Coinbase, владеющим токенами MKR , было некомфортно напрямую взаимодействовать с протоколом голосования MakerDAO, поскольку «они T знали о риске или риски перевешивали сам факт участия».

По словам Люна, часть усилий Coinbase по поддержке стороннего аудита кода контактов для голосования MakerDAO была направлена на обеспечение безопасности возможностей, создаваемых на Coinbase для взаимодействия с MakerDAO.

«Наша цель — предоставить нашим клиентам безопасный канал для участия в сети, и в рамках этого процесса мы довольно глубоко изучили, как работает контракт MakerDAO и как работает голосование», — сказал Льюнг в интервью CoinDesk.

Поскольку уязвимость была раскрыта и устранена, Льюнг подтвердил CoinDesk, что намерение запустить функцию голосования MKR на Coinbase Custody остается неизменным.

«Мы проделали домашнюю работу, чтобы убедиться, что [наш интерфейс] является наиболее безопасным способом участия в сети MakerDAO, поскольку мы ставим свою марку за действие», — сказал он CoinDesk.

Замокизображение через Shutterstock