专家声称有关MakerDao漏洞的指控是实质性的

 
12月初，在开发人员Micah Zoltu提出指控称，拥有足够财务资源的黑客可能如何对MakerDAO网络进行攻击之后，Maker Foundation在其网站上进行了多次治理民意调查，以缓解日益增长的担忧。窃取了近3.4亿美元。
作为该计划的一部分，基金会的临时风险小组询问其全球用户社区是否应该将平台的本机“治理安全模块”从0秒升级到24小时。
从本质上讲，GSM允许MKR令牌持有者查看针对MakerDAO生态系统提出的任何新更改，从而使网络参与者有机会在任何潜在更改被认为是恶意的情况下采取行动。
3.4亿美元的问题
关于此事，Zoltu在12月9日发布了一个博客，声称拥有2,000万美元可支配费用的任何黑客都可能对MakerDAO网络发起全面攻击，并窃取价值3.4亿美元的以太(ETH)。也有人引用他的话说：“ Maker DAO v2应当以防范恶意MKR持有者窃取所有抵押品并在此过程中抢劫Uniswap，Compound和与Maker集成的其他系统的很大一部分为保障。相反，他们决定不这样做。”
Zoltu的主要争论点是MakerDAO的运营框架受到极为利基的技术故障困扰-每次选择新合同来执行时，系统中基于GSM的较小的时间延迟。
尽管这种延迟使网络有时间来决定所讨论的合同是否恶意，但黑客和第三方代理可以潜在地利用时滞来提高自己的合同，这些合同已被编程为窃取平台的所有存储抵押品。
Zoltu进一步详细说明了该网络的漏洞，并补充说，拥有80,000 Maker(MKR)的黑客目前可以选择通过Maker的本机合同进行任何操作。这是因为系统当前的GSM延迟商设置为0秒，这使网络防御者完全无法抵抗富有的恶意代理发起的攻击。
相关：区块链技术能否预防下一次金融危机?
Maker Foundation否认该问题
自从这个问题引起了全球加密社区的关注以来，MakerDAO团队一直拒绝承认Zoltu的任何主张。相反，他们试图通过主持一些社区民意调查并发布博客文章来概述该问题的潜在行动计划，以解决该问题。
为了更好地了解情况，Cointelegrah与Monarch加密钱包总裁Robert Beadles取得了联系。关于这个问题，他指出：“弥迦提出了一些似乎令人担忧的现实问题。这些去中心化智能合约的问题之一是它们仅与编写它们的人一样聪明。”
Beadles继续说，由于加密仍然是一个非常新的现象，世界上很少有人可以找到并利用这些漏洞，并补充说：
“拥有开放源代码的缺点之一是，确实了解它并有时间的人可以找到破解或利用它的方法。如果米卡(Micah)是对的(看起来像他是对的)，他们最好尽快修补。”
P2P法定网关XanPool的首席执行官Jefferey Liu Xun也持类似观点。他告诉Cointelegraph，从纯粹的技术角度来看，佐尔图的说法似乎是正确的。此外，他认为，维护系统完整性的是少数几个人的善意-这对于绝大多数项目在加密世界中都是如此。 further进一步补充说：“许多项目都希望他们的系统的完整性来自于技术，因此它们在社会上紧密结合在一起，这取决于鲸鱼和开发商等主要利益相关者的良好意愿。通常，在以太坊上构建复杂的系统时，很难衡量所有可能的结果。”
Xun进一步阐述了他的立场，并强调指出，与特定项目相关联的绝大多数用户和节点运行程序几乎从未验证过自己正在运行的代码，这使他们受开发人员和基金会的支配-本质上是信任他们的声誉和个人利益。
不仅如此，他还指出，所有基于硬币的项目(如XRP)中的绝大多数都由少数几个主要参与者控制，这些参与者最终都有能力操纵货币价格。 Cointelegraph还与投资公司Mayfair Ventures董事长Lewis Daniels取得了联系。他指出了以下几点：“由于Dai加密货币获得了以太坊链上智能合约盈余的支持，使得贷款不安全，继而可能导致各种清算问题，由于智能合约内的漏洞，这些债务是可以解决的。”
一个容易纠正的漏洞
尽管MakerDAO的漏洞问题可能在全球引起了极大的轰动，但该问题似乎非常简单，可以解决，没有任何明显的困难。
关于这个问题，项目审查和指导平台CoinDiligent的首席执行官Pascal Thellmann告诉Cointelegraph，Zoltu在他的文章中只真正谈到了获得执行攻击所需的MKR令牌的成本。但是，他忽略了与潜在的法律后果相关的高得多的成本，洗钱和变现资金的成本以及矿工进行协调以扭转袭击的风险。然后，Thellman继续添加：
Zoltu概述的攻击对普通人在经济上没有吸引力。唯一可以执行此攻击的恶意行为者是一个流氓民族国家，例如朝鲜，因为他们不必担心潜在的法律后果，并且能够利用这笔资金，而不论这些资金是否受到污染。”
Xun还认为该问题相对容易解决，并指出Zoltu本人在被Maker Foundation取消优先级之前就提出了该问题。
拒绝发表评论
尽管Zoltu提出的漏洞可能没有以前想象的那么严重，但MakerDAO的PR团队拒绝完全承认他的主张这一事实对于专家和社区而言都是奇怪的。
Cointelegraph与Maker取得了联系，希望能对情况有一个更清晰的了解，但该组织的发言人拒绝对所提交的调查表发表评论-而是援引该公司12月9日发布的博客文章。