Uma análise descobriu recentemente que o sistema de governança do projeto Maker Dao pode ser explorada e causar um prejuízo de US$340 milhões em ETH.
- US$ 340 milhões em perigo, a falha que todos sabem;
- Como fazer o ataque na Maker DAO?
- ROI de 8 veze sobre o ataque;
- Resposta da equipe de desenvolvimento;
- Outros casos de hack com DAO;
Veja também: O que é uma DAO?
O pesquisador Mica Zoltu diz que um grupo de investidores ou uma baleia com apenas US$20 milhões pode efetivamente sacar o colateral da Maker Dao, algo em torno de $340 milhões em Ether, em questão de segundos.
US$340 milhões em perigo
O pesquisador diz que a equipe de desenvolvimento da Organização Descentralizada já sabe da falha desde a versão 2 da Maker.
“O Maker está ciente desse problema desde o lançamento do Maker v2, provavelmente desde o início.”
Ele ainda acrescenta que a solução para esse problema seria fácil:
“Apesar disso, eles estão optando por não tapar o buraco (o plugue é fácil)”
É por isso que ele resolveu alertar os investidores sobre os riscos de ter dinheiro dentro da Maker.
Como funciona o ataque?
A Maker é um contrato inteligente na rede Ethereum, ela foi criada para ser uma moeda descentralizada com certa paridade ao dólar. Para conseguir estabilidade de preço a DAI usa posições colateralizadas em ether.
Para governar esse sistema complexo de contratos colateralizados existe o sistema “stake the leader”, no qual os usuários podem votar para dar poderes de governança a um líder.
Para conseguir obter controle desse contrato é necessário ter 80,000 MKR em stake, ou US$~41 milhões. Após a obtenção do contrato, o governador pode fazer o que quiser, como sacar US$340 milhões.
Claro, existe uma proteção para que a comunidade tome atitudes contra esse ataque, que seria um tempo de atraso para que o saque seja feito. Esse tempo daria uma possibilidade de ação para a comunidade.
Tente adivinhar qual o tempo configurado para uma ação da comunidade. Um dia? Duas horas? Não, a equipe da Maker configurou para 0 segundos.
“A Maker Foundation decidiu que o valor apropriado para esse atraso de governança é de 0 segundos. Isso mesmo, os defensores têm 0 segundos para se defender de um ataque lançado por uma parte rica e maliciosa.
ROI de 8 vezes
Não é facil ter US$41 milhões disponíveis para executar um ataque dessa magnitude.
Entretanto, o pesquisador achou uma maneira de reduzir pela metade o custo da empreitada.
“Sempre que uma votação de governança é proposta, há um período durante o qual a participação da MKR migra do antigo contrato executivo para o novo”, ele elaborou.
Como isso leva tempo, inevitavelmente haverá um ponto no qual “80.000 MKR participantes ativos serão divididos entre dois contratos executivos, cada um com aproximadamente 40.000 MKR”, fato que Zoltu afirma ser explorado com o tempo “de uma transação que ele cai bem quando o MKR é distribuído de forma ideal entre os dois contratos e executa o ataque naquele momento, custando apenas uma quantia superior a 40.000 MKR (~ 20 milhões de dólares). ”
Segundo Micah, o retorno sobre investimento desse ataque seria de 8 vezes.
Maker se recusou a aceitar o problema
Zoltu descreve ainda suas tentativas de falar com a equipe de desenvolvimento que achou diversas desculpas para não fazer o patch de segurança, dentre elas:
- É muito caro para ser feito;
- O problema é conhecido e nunca foi explorado, por isso não será futuramente;
- A comunidade iria reagir;
- A Fundação criaria um processo judicial para recuperar os Ethers;
Ele acredita que tal decisão e desculpas da equipe foram propositais e criadas para tentar manter os desenvolvedores atuais no controle do projeto.
Após a repercussão negativa, a Maker Foundation decidiu aumentar o tempo de reação para 24 horas até o final da semana, se os hodlers de Dai decidirem por esse caminho.
Outros hacks em DAOs
Não é a primeira vez que problemas de segurança são encontrados em contratos inteligentes e projetos de DAO.
O mais conhecido ataque foi o da The Dao, que roubou US$50 milhões de dólares em Ether (11,5 milhões de ethers) no ano de 2016.
O estrago foi tão grande no recém-nascido Ethereum, que parte da comunidade decidiu voltar as transações no blockchain antes da data do hack.
Até hoje não sabemos quem atacou o projeto The Dao. Contudo, ele ficou gravado negativamente na memória dos investidores.