Dev标记的重大漏洞可能导致3.4亿美元的盗窃，并窃取了MakerDAO的所有ETH

 
攻击将需要一些MKR鲸鱼或许多次要MKR地址的工作。
此类攻击的成本约为2000万美元，甚至更多。
Maker协议目前持有3亿美元的ETH，但它是否像投资者所相信的那样安全? Augur原始白皮书的开发者和合著者Micah Zoltu最近发表了一篇帖子，暗示MakerDAO存在很大的漏洞。他在博客中指出，此漏洞可能会受到攻击，从而从MakerDAO系统中提取所有的ETH。
通常，用户会将ETH锁定在Maker协议中，从而使他们能够创建涉及DAI稳定币(与美元挂钩)的贷款。但是，佐尔图指出，制造商的管理方式会产生问题，并指出：“一些富豪可以控制系统的行为。”
发生攻击的唯一方法是，如果一些MKR鲸鱼决定采取快速行动，尽管复杂的攻击仅需40,000 MKR。根据目前为Maker实施的投票系统和抵押方法，使用48,400 MKR可使攻击立即发生。从本质上讲，要想实现这一目标，至少需要2,000万美元的加密货币，前提是这种购买的价格不会上涨，而这种可能性不大。佐尔图继续写道:“ Maker Foundation如果愿意的话，现在就不能以这种方式攻击系统，这毫无价值。更糟糕的是，[风险投资公司] a16z现在有足够的MKR可以耐心地执行攻击!”
除了希望看到DeFi应用程序蓬勃发展的个人从事内部工作的可能性之外，实际上获得这种攻击所需的所有MKR的能力可能是最大的挑战。 Pantera Capital的合伙人乔伊·克鲁格(Joey Krug)已意识到此漏洞，他说：“我觉得它的价格至少要高出一倍。如果您要支付双重市场，您可能会得到很多鲸鱼要卖给您的场外交易。”
在公开市场上，如果攻击者必须从第一个方格开始，则价格将成倍飙升。
就目前而言，MKR令牌支配Maker协议。一百万的薄荷糖已经被烧掉了，但是Maker Foundation仍然掌控着数十万的资金和智能合约。在撰写本文时，单个MKR的售价为499.16美元，每天处理的营业额约为400万至1000万美元。
通过持有MKR，任何投资者都可以签定智能合约，尽管Maker使用持续治理可以随时进行更改。该系统刚刚从单抵押DAI升级到了多抵押DAI，这意味着该协议可以使用一个全新的版本。现在，有两种DAI，用户被迫将其旧的DAI转换为当前的DAI。
尽管存在新的安全性更改，例如延迟投票表决的更改生效，但Zoltu指出最大的弱点是没有治理延迟。这意味着，任何经过表决和批准的条款都将立即生效，工程主管Wouter Kampmann认为，现在最好这样做。坎普曼补充说：“这实际上是在那找到最甜蜜的地方。”
坎普曼在与CoinDesk交谈时表示，MakerDAO持有的所有ETH都不会被转移到攻击者可以控制的钱包中。相反，坎普曼说，“未经许可，不可阻挡的代码的工作方式是，某些业务逻辑确定了如何与合同进行交互的规则，而这些规则是不可更改的。”
这种攻击需要大量的情报和计划，但是任何想起DAO黑客的人都可能有点紧张。佐尔图(Zoltu)的攻击理论将需要迅速发生，因为治理延迟可能会在第一季度(可能最早在一月份)增加。但是，这个决定实际上并不取决于基金会人员。坎普曼说，“您不能仅仅忽略它的经济性。所提出的模型确实存在激励模型中的问题。”
目前，有几条鲸鱼已经积累了足够的MKR来以这种方式进行攻击，但是不太可能。这次攻击最终将导致其在其他资产中的价值损失，从而动摇以太坊，使他们付出的代价远远超过获得的价值。坎普曼(Kampmann)指出，如果MKR持有人关心协议的安全性，则应该对其票进行抵押。另外，还有很多MKR处于观望状态。克鲁格补充说，尽管MKR鲸可能有良好的意图，但是“肯定地假设”是不明智的。
这种攻击的另一种选择是需要许多小鲸鱼之间的大规模协作，这些小鲸鱼占了大约16,000个ETH地址。 如果他们在不引爆MakerDAO社区的情况下合并部队，则有可能在收集足够的代币的同时避免价格波动。 考虑到MKR的进展不大，这种合作根本不可能，但Zoltu并不认为所有这些假设都能使该协议足够安全。 Zoltu添加了，“他们（制造商基金会）的运作是在假设攻击者没有可用的流动资金黑池的前提下。 从定义上来说，这是人们所不知道的。”
正如The Next Web的Hard Fork指出的那样，MakerDAO最近表示，十月份还有另一个主要的安全漏洞，允许在DAI升级发布之前盗窃以太坊。