A principios de diciembre, la Fundación Maker alojado una serie de encuestas de gobernanza en su sitio web para aliviar las crecientes preocupaciones tras las acusaciones presentadas por el desarrollador Micah Zoltu sobre cómo los piratas informáticos con suficientes recursos financieros podrían llevar a cabo un ataque contra la red MakerDAO y robar cerca de $ 340 millones.
Como parte de la iniciativa, el equipo de riesgo interino de la fundación preguntó su comunidad global de usuarios si deben actualizar el Módulo de Seguridad de Gobierno nativo de la plataforma de 0 segundos a 24 horas.
En esencia, el GSM permite a los titulares de tokens MKR revisar cualquier cambio nuevo que se haya propuesto para el ecosistema MakerDAO, lo que brinda a los participantes de la red la oportunidad de actuar si cualquier cambio potencial se considera malicioso.
La pregunta de $ 340 millones
Con respecto al asunto, Zoltu publicó un blog el 9 de diciembre. reclamando que cualquier pirata informático con $ 20 millones desechables podría lanzar un ataque a gran escala en la red MakerDAO y embolsarse un gran valor de $ 340 millones en Ether (ETH). También fue citado diciendo:
“Se suponía que Maker DAO v2 se lanzaría con salvaguardas contra un titular hostil de MKR que robara todas las garantías y potencialmente robara una buena parte de Uniswap, Compuesto y otros sistemas integrados con Maker en el proceso. En cambio, decidieron no hacerlo ".
El principal punto de discusión de Zoltu es que el marco operativo de MakerDAO está plagado de una falla técnica extremadamente nicho: un pequeño retraso de tiempo basado en GSM dentro del sistema cada vez que selecciona un nuevo contrato para ejecutar.
Si bien este retraso le permite al tiempo de la red decidir si el contrato en cuestión es malicioso o no, los piratas informáticos y los agentes de terceros pueden aprovechar el retraso de tiempo para votar sus propios contratos que se han programado para robar todas las garantías almacenadas de la plataforma.
Al seguir explicando las vulnerabilidades de la red, Zoltu agregó que los piratas informáticos con 80,000 Maker (MKR) actualmente tienen la opción de hacer lo que quieran con los contratos nativos de Maker. Esto se debe a que el cociente de demora GSM actual del sistema se establece en 0 segundos, lo que deja a los defensores de la red completamente indefensos contra los ataques iniciados por agentes adinerados y maliciosos.
Relacionado: ¿Podría la tecnología Blockchain prevenir la próxima crisis financiera?
Maker Foundation niega el problema
Desde que el problema llamó la atención de la comunidad global de cifrado, el equipo de MakerDAO se ha negado a reconocer ninguna de las afirmaciones de Zoltu. En cambio, han tratado de enmendar el problema hospedaje una serie de encuestas comunitarias y publicaciones en blogs que describen su plan de acción potencial en relación con el asunto.
Para comprender mejor la situación, Cointelegrah contactó a Robert Beadles, presidente de la billetera criptográfica Monarch. Sobre el tema, señaló:
“Micah plantea algunas preocupaciones reales que parecen retener el agua. Uno de los problemas con estos contratos inteligentes descentralizados es que son tan inteligentes como la persona que los escribió ”.
Beadles continuó diciendo que muy pocas personas en el mundo pueden encontrar tales vulnerabilidades y explotarlas, ya que la criptografía todavía es un fenómeno muy nuevo, y agregó que:
“Uno de los inconvenientes de tener código fuente abierto es que las personas que lo entienden y tienen el tiempo pueden encontrar formas de descifrarlo o explotarlo. Si Micah está en lo correcto, y parece que lo es, será mejor que lo arreglen así de rápido ”.
Jefferey Liu Xun, CEO de XanPool, una puerta de enlace fiat P2P, comparte un punto de vista similar. Le dijo a Cointelegraph que desde un punto de vista puramente técnico, las afirmaciones de Zoltu parecen válidas. Además, cree que es la buena voluntad de unos pocos lo que mantiene la integridad del sistema, algo que es cierto en el mundo de las criptomonedas para la gran mayoría de los proyectos. Xun agregó a demás:
“Por mucho que a muchos proyectos les gustaría pensar que la integridad de su sistema proviene de su tecnología, se mantienen unidos socialmente, dependiendo de la buena voluntad de las principales partes interesadas, como las ballenas y los desarrolladores. A menudo, al construir un sistema complejo en Ethereum, es difícil medir TODOS los resultados posibles ".
Desarrollando aún más su posición, Xun destacó que una gran mayoría de usuarios y corredores de nodos asociados con un proyecto en particular casi nunca verifican el código que están ejecutando ellos mismos, lo que los pone a merced de los desarrolladores y la base, esencialmente, confiando en su reputación e interés propio.
No solo eso, sino que también señaló que una gran mayoría de todos los proyectos basados en monedas (como XRP) están controlados por unos pocos jugadores importantes que finalmente tienen la capacidad de manipular el precio de la moneda. Cointelegraph también contactó a Lewis Daniels, presidente de la firma de inversiones Mayfair Ventures. Señaló lo siguiente:
"Como la criptomoneda Dai está respaldada por un superávit en los contratos inteligentes en la cadena Ethereum, lo que hace que los préstamos sean inseguros y luego puedan causar varios problemas de liquidación, son estos los que son accesibles debido a la laguna en el contrato inteligente".
Una vulnerabilidad fácil de rectificar
Si bien el problema de vulnerabilidad de MakerDAO puede haber causado un gran revuelo a nivel mundial, el problema parece ser bastante sencillo y puede corregirse sin ninguna dificultad aparente.
Sobre el tema, Pascal Thellmann, CEO de la plataforma de revisiones y guías de proyectos CoinDiligent, le dijo a Cointelegraph que en su artículo, Zoltu solo ha hablado realmente sobre el costo de obtener los tokens MKR necesarios para realizar el ataque. Sin embargo, ignora los costos mucho mayores asociados con las posibles consecuencias legales, el costo de lavar y retirar los fondos, y el riesgo de la coordinación minera para revertir el ataque. Thellman luego procedió a agregar:
“El ataque que describe Zoltu no es económicamente atractivo para un individuo normal. El único actor malicioso que podría ejecutar este ataque es un estado-nación deshonesto, como Corea del Norte, ya que no tendrían que preocuparse por las posibles consecuencias legales y pueden dar uso a los fondos, independientemente de que estén contaminados ".
Xun también cree que el problema es relativamente fácil de solucionar, y señala que el propio Zoltu lo planteó antes de que la Fundación Maker lo des priorizara.
Negado a comentar
Si bien las vulnerabilidades presentadas por Zoltu pueden no ser tan graves como se había imaginado anteriormente, el hecho de que el equipo de relaciones públicas de MakerDAO se haya negado a reconocer plenamente sus afirmaciones parece extraño tanto para los expertos como para la comunidad.
Cointelegraph contactó a Maker con la esperanza de obtener una visión más clara de la situación, pero un portavoz de la organización se negó a comentar sobre el cuestionario enviado, en su lugar citando una publicación de blog emitida por la compañía el 9 de diciembre.