Akár az összes Ethereumot ki lehetne üríteni a MakerDAO-ból
Mi történne akkor, ha az összes ETH-t kiüríthetnéd a Maker protokollból? A MakerDAO jelenleg 300 millió dollár értékű kriptovalutát tárol. Bár hihetetlenül sok pénz, ha az ár a felére vagy a kétharmadára esett volna vissza, akkor is megért volna egy kísérletet.
Micah Zoltu, egy független szoftverfejlesztő, egyúttal az Augur decentralizált piaci előrejelző felület fehér könyvének egyik szerzője is. A fejlesztő hétfőn közzétett egy bejegyzést, amiben azt írta, hogy egy jól megszervezett MakerDAO elleni támadással, akár az összes ETH-t ki lehetne üríteni a tárcákból.
Zoltu szerint a probléma a Maker irányításában rejlik. Úgy fogalmazott, hogy „A rendszert néhány plutokrata (pénzes) csoport irányítja.”
A fejlesztő úgy véli, hogy a támadást csak néhány MKR bálna tudná megvalósítani, ha elég gyorsan akarnának cselekedni. Zoltu szerint 40 000 MKR elég is lenne az egészhez. Tehát nagyjából 20 és 25 millió dollár értékű kriptovaluta kellene a végrehajtásához, feltételezve azt, hogy valaki oly módon halmozná fel az MKR-t, hogy az ne növelje az árat, ami viszont valószínűtlen.
„Érdemes azt megjegyezni, hogy a Maker Alapítvány akár most is megtámadhatná a rendszert, ha akarná”, írta Zoltu. „Az viszont még aggasztóbb, hogy az a16z kockázati tőke társaságnak már elég MKR-je van ahhoz, hogy bármikor támadást hajthasson végre!”
A támadás kivitelezéséhez elegendő MKR felhalmozása ugyanakkor jelentős akadályokba ütközne. „Úgy érzem, hogy ez legalább a duplájára növelné az árat”, mondta Joey Krug, a Pantera Capital egyik befektetőpartnere, akit korábban már tájékoztattak a protokoll sebezhetőségről.
„A nyílt piacon az árak megbolondulnának, a jelenlegiek többszöröse lenne”, mondta Krug.
Hogyan valósulhatna meg a támadás
A Maker protokollt az MKR token szabályozza. Eddig egymillió MKR-t bányásztak ki, ennek egy részét megsemmisítették. A Maker Alapítvány továbbra is több százezret ellenőriz. Ezeket a saját tárcáikban és okosszerződésekben helyeztek letétbe.
Egy MKR 510 dollárért vásárolható. A napi forgalom meglehetősen változó, de az utóbbi időben körülbelül 4–10 millió dollár volt a MKR napi forgalma. Bárki, aki rendelkezik MKR-vel, okosszerződésként javaslatot tehet a protokollra nézve, így bárki megváltoztathatja annak paramétereit. A Maker folyamatos irányítást gyakorol a rendszer felett, így a rendelkezéseket bármikor megváltoztathatja.
Ez most különösen fontos, hiszen a rendszeren egy jelentős frissítést hajtottak végre, a párhuzamos DAI és a DAI megtakarítási ráta végrehajtásával. A frissítés a protokoll egy teljesen új verziója, amely értelmében kétféle DAI létezik, így a felhasználókat arra kérik, hogy konvertálják régi a DAI-t az újra (neve SAI).
Az új rendszeren néhány fontos biztonsági változtatást is bevezetettek, mint például a késleltetési funkciót a jóváhagyott módosítások megszavazása és annak hatályba lépése között, valamint a vészleállítás lehetőségét.
Zoltu véleménye szerint a rendszer leggyengébb pontja az irányítási késleltetés, ami jelenleg nulla másodperc. Vagyis minden olyan rendelkezés, amelyet megszavaznak, azonnal hatályba lép.
Wouter Kampmann, a Maker Alapítvány műszaki vezetője, azt mondta, hogy a MakerDAO közössége részletekbe menően megvitatta a témát és úgy látta, hogy jobb a nulla késleltetés, mint a semmi. Így lehetőség van legalább annak eldöntésére, hogy melyik módosítás kerülheti meg a késleltetést és melyik nem.
Kampmann azt is hozzátette, hogy nem lenne olyan egyszerű az összes ETH-t, amelyet jelenleg a MakerDAO biztosítékként tart, csak úgy áthelyezni a támadó által megadott tárcába.
„Az engedély nélküli, megállíthatatlan kód működése azt jelenti, hogy van egy bizonyos üzleti logika, amely meghatározza a szerződéssel való együttműködés szabályait és ezek a szabályok megváltoztathatatlanok”, nyilatkozta Kampmann.
Zoltu azt elismerte, hogy hosszú ideig tartó fejtörésre és tervezésre lenne szükség ahhoz, hogy ez kivitelezhető legyen. Ugyanakkor sokan emlékeznek még az Ethereum DAO-t ért nagyszabású támadásra.
Kampmann azt reméli, hogy az irányítási késleltetés valamikor 2020 első negyedévben, talán már januárban megnőhet. Fontos azonban megjegyezni, hogy ez a döntés nem az ő vagy alapítványának érdeme.
Kampmann bizakodó
„A felvázolt modell problémája valójában az ösztönző rendszerben rejlik”, tette hozzá Kampmann.
Néhány bálnának elég MKR-je van ahhoz, hogy egy ilyen horderejű támadást hajtson végre, de nem valószínű, hogy megteszik. Sokként hatna az Ethereum ökoszisztémában és ha a bálnák sok MKR-rel rendelkeznek, még több veszteséget szenvednének el más eszközökön keresztül, mint amennyit az ETH ellopásából nyernének.
Kampmann szerint azok az MKR tulajdonosok, akik érdekeltek a protokoll biztonságának fenntartásában, az a legjobb, ha stakelnek, hiszen, így nagyobb beleszólásuk van a hálózatba. Minél több MKR-rel rendelkeznek, annál drágább lesz egy ilyen jellegű támadást kivitelezni.
Krug elismerte, hogy az MKR bálnák valószínűleg jó szándékúak, de azt is bevallotta, hogy „Ezt nem vehetjük biztosra.”
Több, mint 16 000 ETH cím van, néhány MKR-rel. Ha egy csomó kisebb bálna be tudott volna törni a MakerDAO közösség figyelmeztetése nélkül, akkor képesek lettek volna elegendő tokent ármozgás okozása nélkül összegyűjteni.
A Maker Alapítvány azt nyilatkozta, hogy az MKR likviditását ismerve ez valószínűtlen lenne. Az MKR ugyanis nem mozog annyira.
Zoltu viszont továbbra is kiáll állítása mellett, miszerint a protokoll nem elég biztonságos. Azt mondta: „A Maker Alapítvány azt feltételezi, hogy a támadók számára nem állnak rendelkezésre sötét likviditási poolok. Ezt viszont nem lehet tudni.”