Menu

MKR治理攻击:15秒内将2000万美元变成3.4亿美元,可能吗?_龙8国际网页版

long8龙8国际首页

long8龙8国际首页-前言:本文明确提出了对MakerDAO管理反击的有可能模式,并明确提出了改良希望。由于MakerDao在整个以太坊的DeFi生态中具备十分最重要的地位,也是当前瞄准资产量仅次于的DeFi项目,任何跟它有关的潜在风险都会对整个DeFi生态和以太坊产生根本性影响。特别是在考虑到可人组性,这也是双刃剑。

整个加密世界正处于早期也很陌生,完全所有长时间项目都具备共生共荣的特点,任何长时间项目的风险都可能会转化成为整个领域的风险。不管如何,希望所有的DeFi项目都需要不断完善,一起推展区块链行业的持续发展。本文作者MichaZoltu,由“蓝狐笔记”社群的“CL”翻译成。

概要任何人只要享有约40,000个MKR,也就是约2000万美元,就需要拿走所有在MakerDAO上的抵押资产,还包括Dai和Sai,以及来自Compound、Uniswap、和其他Maker集成系统的大量资产,全部特一起约多达3.4亿美元。MakerDAO v2,也就是多抵押资产的Dai,原本应当使用防卫措施(应急重开和管理延后)启动的,这样可以避免有敌意的MKR持有人掠夺所有抵押资产,避免有可能洗劫Uniswap、Compound、以及其他构建Maker的系统中的大量资产。忽略,他们要求不这么做到。银行MakerDAO是让Dai运转的东西。

当前,早已有价值3.4亿美元的ETH瞄准在其V1和V2版本中。跟Uniswap和Augur有所不同,它也是一个“管理”系统,这意味著某些有钱人可以控制系统的运作。

设计管理系统可以调用各种各样的内部功能,以容许管理人构建各种他们想的事情。管理是一个非常非常简单的“利益相关者说了算”的系统,你可以在合约中权益质押你的MKR代币,其中质押最少MKR的用户获得控制权。

由于当前的继续执行合约下有80,000MKR的权益质押代币(蓝狐笔记:MKR总量相似100万个,权益质押的代币占到8%左右,质押率较低),这意味著,想要对Maker合约做到任何你想的事情的成本约是80,000MKR,折算成美元是4100万美元。为了减低蓄意不道德者的威胁,系统有个机制,在新的继续执行合约被自由选择之后,不会不存在一段继续执行的延迟时间。在此延迟时间,任何享有充足MKR数量的人都可以启动时整个系统的全球承销,从而可以在新的继续执行合约作出任何很差的事情之前有效地关闭系统。

这意味著,如果掠夺者经常出现并企图通过给继续执行合约投票以劫取所有抵押资产,即使他们享有的代币比其他继续执行合约更加多,他们也必需等候这一延迟时间,并期望没有人在这期间启动时防御机制。疏失问题是Maker基金会早已确认此管理延后的必要值是0秒。到底,防御者有0秒的时间来防卫由有钱人但蓄意的攻击者发动的反击。

错综复杂之处· 鉴于如上所述,攻击者可以做到如下的事情:· 不管通过何种方式,提供80,000个MKR代币。· 创立一份继续执行合约,它可以将所有Maker上的抵押资产转交你。

· 立刻对合约展开投票(在同一交易中)。· 立刻转录合约(在同一交易中)。· 拿着价值3.4亿美元的ETH开溜(不要再管那些反击用的MKR了,在反击之后,它不会毫无价值)。

这具备让人难以置信的利润,有8倍的ROI,但继续执行一起很便宜。不过,只必须有冷静就可以将反击成本将至50%。

还忘记我们上面提及的当前投票系统的运作方式是:享有最多投票数的继续执行合约是享有全部控制权的合约吗?每当管理投票对建议展开投票表决时,MKR权益从旧继续执行合约转至新的继续执行合约不会不存在一段时间。这会一次全部再次发生,它一般来说不会随着时间推移再次发生,因为个人移往他们的投票不会有时间。那么,在某个时间点上,将80,000个积极参与的MKR分出两个继续执行合约,每个约有40,000个MKR。一个好的脚本可以很更容易展开交易计时,它可以在MKR给两个继续执行合约最佳分配时展开恰时操作者,并在那时继续执行上述反击,意味着花费约40,000MKR,也就是2000万美元。

收银机如果盗取3.4亿美元还不符合,那么,他们还可以在反击继续执行过程中铸造出千万亿的Dai。在劫掠Maker的同一交易中,他们还可以将Dai移到Uniswap,并通过ETH交易对拿走所有ETH能用的流动资金。要从来不走运的银行顾客的口袋中取得一些额外的零钱,他们还可以去Compound,无偿千万亿的Dai,并买入所有可取得的亦可资金(他们总有一天会偿还债务贷款,只保有买入的资产)。如果他们行动很快,网卓新闻网,在铸所有Dai之后,他们甚至能立刻在一些半去中心化的交易所,例如IDEX、Paradex、RadarRelay等展开买入。

群众但是等一下,还有更加多!以太坊是创建在具备约束力的协议之上的系统。这意味著,一个人需要创立一个智能合约,其中多个彼此之间信任的各方可以根据一套严苛规则构建合谋。规则集有可能如下:如果该合约集中于了40,000个MKR,那么任何人都可以启动时它,且它将立刻掠夺Maker。

顺利掠夺之后,战利品不会在MKR贡献者之间平均分配。如果掠夺告终,参与者可以拿回MKR。

任何时间任何人都可以拿回其MKR。这个智能合约非常简单,它在贡献MKR的参与者之间是具备约束力的协议,因此他们之间须像传统掠夺那样必须彼此间的信任。

没有人可以带着所有战利品逃走,没有人可以盗取其他参与者的贡献,除了将所贡献的MKR用作继续执行誓约的不道德之外,也没有人可以将其用于其他任何事情。有人可能会争论,任何攻击者都必需将其计划表达给人们,而Maker基金会可以非常简单地超越其“我们不参予管理”的规则,通过将基金会的所有MKR用作投票,以阻止反击。这样,这不会让反击的成本上升到400,000,000MKR,而不是40,000MKR。

(蓝狐笔记:MKR总发行量为1,000,000个,不告诉文中所提及的4亿个MKR怎么来的)如果Maker基金会看见这种情况的到来,显然有能力制止它。但是,没任何确保说道,Maker基金会一定会察觉到它的到来。

例如,攻击者有可能在其他地方有资金,并且他们随着时间用这些资金来出售MKR。攻击者也有可能是MKR持有人,他们告诉其他MKR持有人具备一定的道德缺失,他们可以在私下展开协商。

即使具备约束力的协议合约是公开发表的,但它也需要以一种误解众包的方式展开设计。例如,可以让每个感兴趣的人都向中心服务提供者递交实签订的交易(须几乎信任他们),然后中心服务提供者直到“动员”充足的MKR之后才不会广播这些交易。在这种情况下,要么Maker基金会插手以集中于控制系统,而不告诉否有人在行动,要么他们什么都不做到,冒着随时都会再次发生被反击的风险,且无法即时作出反应。局内人值得注意的是,Maker基金会现在就可以用这种方式反击系统,如果他们想要的话。

他们享有近超强80,000MKR的代币。更加差劲的是,a16z现在手上也享有充足的MKR实行有冷静的反击。还有一些其他的MKR持有人,他们的身份我们不确切,他们也享有充足的代币去实行冷静版本的反击。然后,还有少数人必须跟其他几方合谋实行反击。

这里让人感到恐惧的是,这不是DeFi,而是CeFi。不是只有一个人需要掠夺所有的钱,一些大的代币持有人,或一群较小的代币持有人也可以随时合谋来掠夺所有资金。

后果那么,如果有人实行此种反击,对Maker用户不会有什么影响?首先,每个用户的CDP/Vault将不会读取,掠夺者必要所取回头所有抵押资产。这不会造成连锁反应,Dai不会变为抵押严重不足,其价格有可能会一回合。然后,MKR价值也将有可能一回合,因为在这种情况下其整个系统基本上告终了。

在经历这种级别的告终之后,不太可能新的完全恢复。以太坊也可能会因此遭到极大的重创,因为这却是以太坊生态系统内的一个根本性告终。或许它不会完全恢复,因为它仍然是个好的平台,但这警告大家“人们可以在好的事情上建构怕的事情”,这是对非理性兴旺的精神状态。

防卫措施我早已与Maker明确提出过这种反击场景,他们具体回应,退出即时的管理掌控来避免此类反击是不有一点的。(蓝狐笔记:这里的即时,应当是指没延后期间)他们申辩论点的一般主题如下,(这是二手的说明,如果必须第一手的陈述,可以必要与他们聊天),其中也还包括了我的驳斥:· 反击向量早已不存在很长一段时间了,但迄今为止情况还不俗。在被找到之前,Heartbleed(OpenSSL反击)早已不存在10年了。

Maker的源代码无法遵循,且在以太坊开发者社区中有不少责怪。之前,我曾特地告诉他他们我没审核Maker合约,因为其代码很难读者。我最后咬紧牙关并了解Maker v2,因为它应当是安全性的(跟Maker v1被指出是过于安全性有所不同)。

意味着因为没有人实行过反击,并不意味著他们将来会实行反击。当向量显得广为人知时,更是如此。· 除了少数几个人继续执行之外,对任何人来说,都过于便宜了。

请求参照上述提及的,同时也请注意,反击只必须一个人才可实行。因此,“除了少数几个人过分便宜”的众说纷纭,并会让系统安全。

· 攻击者必需传播其反击计划仅当反击来自于大量MKR持有人协同工作时,且仅当Maker不愿在有人有可能为反击做到打算时设置防卫· 我们将对任何攻击者采行法律行动这完全是对DeFi的打脸。以太坊生态中的很多人企图维护其资产安全性。

而这种方式无法维护所有。某种程度,它假设攻击者不是电子邮件的。

· 以太坊上很难电子邮件显然,以太坊上很难电子邮件。尽管如此,DAO攻击者仍然不得而知。中本俊仍然不得而知。

很多十分富裕的ETH持有人也是不得而知的。“很难”并非是抵挡大规模利润反击的好防卫。· 这是未知的风险,但不得而知的风险可能会更糟。

我十分不表示同意这种风险评估。你有一个未知的风险,其反击系统可以利润丰厚,并正在与不得而知影响和不得而知可能性的不得而知风险展开较为。这种思路是“没有一点我们退出掌控的反击向量”。

_long8龙8国际首页。

本文来源:long8龙8国际-www.ksbook.com.cn

相关文章

网站地图xml地图