以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > KuCoin > Info

MKR治理攻擊:15秒內將2000萬美元變成3.4億美元,可能嗎?_以太坊:makerdao官網app

Author:

Time:1900/1/1 0:00:00

編者按:本文來自藍狐筆記,Odaily星球日報經授權轉載。前言:本文提出了對MakerDAO治理攻擊的可能模式,并提出了改進期望。由于MakerDao在整個以太坊的DeFi生態中具有非常重要的地位,也是當前鎖定資產量最大的DeFi項目,任何跟它有關的潛在風險都會對整個DeFi生態和以太坊產生重大影響。尤其考慮到可組合性,這也是雙刃劍。整個加密世界處于早期也很稚嫩,幾乎所有正常項目都具有共生共榮的特點,任何正常項目的風險都可能會轉化為整個領域的風險。不管如何,期望所有的DeFi項目都能夠不斷完善,一起推動區塊鏈行業的持續發展。本文作者MichaZoltu,由“藍狐筆記”社群的“CL”翻譯。摘要

任何人只要擁有大約40,000個MKR,也就是大約2000萬美元,就能夠偷走所有在MakerDAO上的抵押資產,包括Dai和Sai,以及來自Compound、Uniswap、和其他Maker集成系統的大量資產,全部加起來大約超過3.4億美元。MakerDAOv2,也就是多抵押資產的Dai,原本應該采用防御措施啟動的,這樣可以防止有敵意的MKR持有人劫掠所有抵押資產,防止可能掠走Uniswap、Compound、以及其他集成Maker的系統中的大量資產。相反,他們決定不這么做。銀行

MakerDAO創始人Rune Christensen過去7天已將63萬枚LDO兌換成MKR:4月17日消息,據Spot On Chain在社交媒體披露鏈上數據顯示,過去7天,MakerDAO創始人Rune Christensen已將總計63萬枚LDO兌換成1,865枚MKR(價值約合145萬美元),絕大多數交易發生在4月9日至4月11日期間,即以太坊上海升級之前。[2023/4/17 14:08:57]

MakerDAO是讓Dai運轉的東西。當前,已經有價值3.4億美元的ETH鎖定在其V1和V2版本中。跟Uniswap和Augur不同,它也是一個“治理”系統,這意味著某些有錢人可以控制系統的運作。設計

治理系統可以調用各種各樣的內部功能,以允許治理人實現各種他們想要的事情。治理是一個相當簡單的“利益相關者說了算”的系統,你可以在合約中權益質押你的MKR代幣,其中質押最多MKR的用戶得到控制權。由于當前的執行合約上有80,000MKR的權益質押代幣,這意味著,想對Maker合約做任何你想要的事情的成本大約是80,000MKR,換算成美元是4100萬美元。為了減輕惡意行為者的威脅,系統有個機制,在新執行合約被選擇之后,會存在一段執行的延遲時間。在此延遲時間,任何擁有足夠MKR數量的人都可以觸發整個系統的全球結算,從而可以在新執行合約做出任何不好的事情之前有效關閉系統。這意味著,如果劫掠者出現并試圖通過給執行合約投票以劫取所有抵押資產,即使他們擁有的代幣比其他執行合約更多,他們也必須等待這一延遲時間,并希望沒人在這期間觸發防御機制。疏忽

Compound暫停ZRX、BAT、MKR、YFI作為借貸資產:10月25日消息,DeFi借貸協議Compound在社區投票中一致通過131號提案,用戶將無法在Compound上使用0x (ZRX)、Basic Attention Token (BAT)、Maker (MKR) 和Yearn Finance (YFI) 作為借貸資產。

據悉,該提案旨在消除非流動資產以保護Compound免受市場操縱,例如此前被操控1億美元的Mango Markets事件。Compound Finance的創始人Robert Leshner也對該提案投了贊成票。(Decrypt)[2022/10/25 16:38:24]

問題是Maker基金會已經確定此治理延遲的適當值是0秒。沒錯,防御者有0秒的時間來防御由有錢但惡意的攻擊者發起的攻擊。微妙之處

鑒于如上所述,攻擊者可以做如下的事情:不管通過何種方式,獲取80,000個MKR代幣。創建一份執行合約,它可以將所有Maker上的抵押資產轉給你。立即對合約進行投票。立即激活合約。拿著價值3.4億美元的ETH開溜。這具有讓人難以置信的利潤,有8倍的ROI,但執行起來很昂貴。不過,只需要有耐心就可以將攻擊成本將至50%。還記得我們上面提到的當前投票系統的運作方式是:擁有最多投票數的執行合約是擁有全部控制權的合約嗎?每當治理投票對提議進行表決時,MKR權益從舊執行合約轉入新執行合約會存在一段時間。這不會一次全部發生,它通常會隨著時間推移發生,因為個人轉移他們的投票會有時間。那么,在某個時間點上,將80,000個積極參與的MKR分到兩個執行合約,每個大約有40,000個MKR。一個好的腳本可以很容易進行交易計時,它可以在MKR給兩個執行合約最佳分配時進行恰時操作,并在那時執行上述攻擊,僅僅花費大約40,000MKR,也就是2000萬美元。收銀機

加密風投基金PolychainCapital已出售所持全部MKR代幣1,315枚:加密風投基金PolychainCapital已于兩日前出售所持MKR代幣1,315.93枚。截至目前,該地址共有48,089枚ETH以及570枚yearn.finance代幣YFI。[2020/12/6 14:16:52]

如果竊取3.4億美元還不滿足,那么,他們還可以在攻擊執行過程中鑄造出千萬億的Dai。在搶掠Maker的同一交易中,他們還可以將Dai移至Uniswap,并通過ETH交易對偷走所有ETH可用的流動資金。要從不走運的銀行顧客的口袋中獲得一些額外的零錢,他們還可以去Compound,出借千萬億的Dai,并借入所有可獲得的可借資金。如果他們行動迅速,在鑄造所有Dai之后,他們甚至能立即在一些半去中心化的交易所,例如IDEX、Paradex、RadarRelay等進行套現。群眾

但是等一下,還有更多!以太坊是建立在具有約束力的協議之上的系統。這意味著,一個人能夠創建一個智能合約,其中多個互不信任的各方可以根據一套嚴格規則實現合謀。規則集可能如下:如果該合約集中了40,000個MKR,那么任何人都可以觸發它,且它將立即劫掠Maker。成功劫掠之后,戰利品會在MKR貢獻者之間平均分配。如果劫掠失敗,參與者可以取回MKR。任何時間任何人都可以拿回其MKR。這個智能合約非常簡單,它在貢獻MKR的參與者之間是具有約束力的協議,因此他們之間無須像傳統劫掠那樣需要彼此間的信任。沒人可以帶著所有戰利品逃跑,沒有人可以竊取其他參與者的貢獻,除了將所貢獻的MKR用于執行約定的行為之外,也沒有人可以將其用作其他任何事情。有人可能會爭辯,任何攻擊者都必須將其計劃傳達給人們,而Maker基金會可以簡單地打破其“我們不參與治理”的規則,通過將基金會的所有MKR用于投票,以制止攻擊。這樣,這會讓攻擊的成本上升到400,000,000MKR,而不是40,000MKR。如果Maker基金會看到這種情況的來臨,確實有能力阻止它。但是,沒有任何保證說,Maker基金會一定會察覺到它的來臨。例如,攻擊者可能在其他地方有資金,并且他們隨著時間用這些資金來購買MKR。攻擊者也可能是MKR持有人,他們知道其他MKR持有人具有一定的道德缺陷,他們可以在私下進行協調。即使具有約束力的協議合約是公開的,但它也能夠以一種混淆眾包的方式進行設計。例如,可以讓每個感興趣的人都向中心服務提供者提交預簽署的交易,然后中心服務提供者直到“動員”足夠的MKR之后才會廣播這些交易。在這種情況下,要么Maker基金會介入以集中控制系統,而不知道是否有人在行動,要么他們什么都不做,冒著隨時都會發生被攻擊的風險,且無法即時作出反應。局內人

火幣將于8月19日16時上線BAL、REN、MKR、IOST和JST永續合約:據官方公告,火幣合約平臺將于8月19日16點上線BAL(Balancer)、REN(Republic Protocol)、MKR(Maker)、IOST(IOST)和JST(JUST)永續合約。[2020/8/18]

值得注意的是,Maker基金會現在就可以用這種方式攻擊系統,如果他們想的話。他們擁有遠超80,000MKR的代幣。更糟糕的是,a16z現在手上也擁有足夠的MKR實施有耐心的攻擊。還有一些其他的MKR持有人,他們的身份我們不清楚,他們也擁有足夠的代幣去實施耐心版本的攻擊。然后,還有少數人需要跟其他幾方合謀實施攻擊。這里讓人感到恐懼的是,這不是DeFi,而是CeFi。不是只有一個人能夠劫掠所有的錢,一些大的代幣持有人,或一群較小的代幣持有人也可以隨時合謀來劫掠所有資金。后果

那么,如果有人實施此種攻擊,對Maker用戶會有什么影響?首先,每個用戶的CDP/Vault將會擦除,劫掠者直接取走所有抵押資產。這會導致連鎖反應,Dai會變成抵押不足,其價格有可能會歸零。然后,MKR價值也將可能歸零,因為在這種情況下其整個系統基本上失敗了。在經歷這種級別的失敗之后,不太可能重新恢復。以太坊也可能會因此遭受不小的重創,因為這算是以太坊生態系統內的一個重大失敗。也許它會恢復過來,因為它依然是個好的平臺,但這提醒大家“人們可以在好的事情上構建壞的事情”,這是對非理性繁榮的清醒。防御措施

動態 | MKR持有人支持上調費用,已進入行政投票階段:據coindesk報道,MakerDAO開啟了面對其代幣持有人的為期四天的上調穩定費用投票。MakerDAO基金會社區發展負責人Richard Brown表示,在24小時內,已經看到超過40000 MKR支持上調穩定費用,僅有9 MKR反對。目前,初步投票已經結束,MKR代幣持有人現在將進入“行政投票”期間。在此期間,用戶將使用他們持有的MKR代幣再次支持提議的費用變更。只要投票的MKR數量超過最初支持增加費用的數量,即42556.94 MKR,便可由網絡中的任何用戶自動執行更改。[2019/3/8]

我已經與Maker提出過這種攻擊場景,他們明確表示,放棄即時的治理控制來防止此類攻擊是不值得的。他們辯護論點的一般主題如下,,其中也包括了我的反駁:攻擊向量已經存在很長一段時間了,但迄今為止情況還不錯。在被發現之前,Heartbleed已經存在10年了。Maker的源代碼難以遵循,且在以太坊開發者社區中有不少抱怨。之前,我曾親自告訴他們我沒有審計Maker合約,因為其代碼很難閱讀。我最終咬緊牙關并深入Makerv2,因為它應該是安全的。僅僅因為沒有人實施過攻擊,并不意味著他們將來不會實施攻擊。當向量變得廣為人知時,更是如此。除了少數幾個人執行之外,對任何人來說,都太昂貴了。請參考上述提到的,同時也請注意,攻擊只需要一個人即可實施。因此,“除了少數幾個人過于昂貴”的說法,并不會讓系統安全。攻擊者必須傳播其攻擊計劃僅當攻擊來自于大量MKR持有人協同工作時,且僅當Maker愿意在有人可能為攻擊做準備時設置防御我們將對任何攻擊者采取法律行動這幾乎是對DeFi的打臉。以太坊生態中的很多人試圖保護其資產安全。而這種方式無法保護所有。同樣,它假定攻擊者不是匿名的。以太坊上很難匿名確實,以太坊上很難匿名。盡管如此,DAO攻擊者依然未知。中本聰依然未知。很多非常富有的ETH持有人也是未知的。“很難”并非是抵御大規模獲利攻擊的好防御。這是已知的風險,但未知的風險可能會更糟。我非常不同意這種風險評估。你有一個已知的風險,其攻擊系統可以獲利頗豐,并正在與未知影響和未知可能性的未知風險進行比較。這種思路是“沒有值得我們放棄控制的攻擊向量”。

Tags:MKRMakerMAKE以太坊AMKR價格makerdao創始人mushgainmakerdao官網app以太坊官網錢包

KuCoin
區塊鏈能做什么?532件專利、506項備案、414家企業指出方向_數字資產:數字資產管理系統

編者按:本文來自01區塊鏈,作者:任俊東,Odaily星球日報經授權轉載。今年1月,國家互聯網信息辦發布了《區塊鏈信息服務管理規定》,《規定》要求,區塊鏈信息服務提供者應當在國家互聯網信息辦公室.

1900/1/1 0:00:00
何一、孫宇晨被封,比特幣能被封嗎?_比特幣交易所:比特幣交易網官網

幣圈大V孫宇晨、何一的微博接連被封,二人開通的新微博“孫宇晨老師”、“何一阿姨”再次被封,從此孫宇晨從“追風少年”變成了“追封少年”.

1900/1/1 0:00:00
肖磊:區塊鏈是下一個互聯網+美元的超級系統,美國的對手只有中國_數字貨幣:比特幣

編者按:本文來自肖磊看市,作者:肖磊,Odaily星球日報經授權轉載。最近在反復思考一個很有意思的問題,僅僅在一百年前,人類還難以快速自如的橫跨各大洲,但一百年后的今天,地球變得如此之小,以至于.

1900/1/1 0:00:00
EIDOS造新鏈被指“模式”_IDO:Yasha Dao

編者按:本文來自蜂巢財經News,作者:凱爾,Odaily星球日報經授權轉載。11月28日,因“轉賬挖礦”一夜爆火的EIDOS有了新動作.

1900/1/1 0:00:00
政府在用區塊鏈做這些事 | 鏈+政務_區塊鏈:區塊鏈中的代幣是什么

文|黃雪姣編輯|郝方舟出品|Odaily星球日報近日,多地政府相繼出臺利好政策、提供配套基礎設施,布局產業區塊鏈.

1900/1/1 0:00:00
Filecoin云算力挖礦和單體礦機挖礦的區別_COI:CoinRadr

在Filecoin挖礦領域現在最通行的有兩大流派,一個是傳統的單體礦機,另一個是以原力區為代表的云算力挖礦。這兩種流派在技術架構上有著本質的區別,因此在靈活性及擴展性方面也會有一定區別.

1900/1/1 0:00:00
ads