從加密貨幣誕生至今,駭客盜取資產的事件層出不窮,平台也從經驗中屢次提升防範層級,但是在效率與安全之間,用戶究竟該如何做取捨呢?
穩定幣新創 MakerDAO 基金會 Maker Foundation 旗下的臨時風險小組(Interim Risk Team)在本月 9 日宣布,為保護 MakerDAO 網路生態的安全,將針對「治理安全模塊」(GSM)是否延遲並進入核心協議,讓社群展開投票表決。
這一切的起因,都源自於一位軟體開發工程師 Micah Zoltu 發表的一份描述 MakerDAO 風險危機的文章。
潛在威脅
據 Micah Zoltu 的分析,由於現有 GSM 系統的缺失,駭客只要持有超過總抵押數量的 8 萬顆平台原生代幣 MKR(約價值 4,100 萬美元),就可以藉由撰寫智能合約,再透過投票來激活合約內容的執行程序,讓所有抵押資產在僅僅一筆交易中就可以全數轉帳到自己的戶頭。
按常理來說,MakerDAO 應該要透過在每份智能合約跑動後就強制執行 GSM 延遲來減少惡意攻擊所帶來的威脅,但是不知為何他們仍舊決議採 0 延遲的協議,這也導致系統防備無法在單一交易完成前察覺意象。
也就是說,假如出現一個背後資金龐大的駭客,那麼所有防禦牆將形同虛設,所有抵押在 Compound、Uniswap 及其他 Maker 集成系統中的資產,包括 DAI 幣、SAI 幣等,只要攻擊一旦發生將全數被洗劫一空。
因此,延遲所帶來的幫助就是給社群更多時間來檢視是否出現任何詭異的合約內容。
決策
Micah Zoltu 指出,任何擁有 2,000 萬美元以上資金的駭客都能任意地竊取鎖定在 MakerDAO 網路中高達 3.4 億美元的以太幣(ETH)資產;因此,為了將風險降至最低,MakerDAO 決議讓社群表決是否將 GSM 的延遲從 0 秒升級到 24 小時。
這是因為,治理安全模塊的用意乃是讓代幣持有人可以查看系統是否執行過任何更動,假如發現惡意程式入侵,適當的延遲將可以讓工作團隊有時間祭出相應的對付手段;然而,MakerDAO 從推出以來一直都沒有延遲時間,所以在攻擊承受上明顯地無法扛著壓力。
在 Zoltu 的文章發佈後,MakerDAO 發表公告回應表示,他們曾經考量過這類攻擊模式,但由於認為這並不是很即時的問題而沒有做好防範;然而,由於 Zoltu 文章的出現,MakerDAO 認為這種風險已經大大地超出他們能控制的範圍了。
因此,MakerDAO 決定立即展開投票,希望能在最短的時間內為狀況止血。
MakerDAO 團隊指出,自從他們開啟了多資產抵押(MCD)的新版本後一直都保持 0 時差的治理安全模塊,倘若能成功升級,將能讓社群在第一時間反應狀況,並從而減輕了技術漏洞、駭客入侵、預言機攻擊等諸多異常問題的風險。
儘管,Zoltu 強調自己不願意看到他們為了防範攻擊風險而放棄即時的治理,但顯然 MakerDAO 基金會已經對此無法坐視不管;不過,Zoltu 表示假如真的決定要延遲 GSM 的反應時間,那考量到週末或例如 DevCon 等活動的休息時段,一週的延遲才會是比較安全的做法。
目前票數統計只有 47 人參與投票,儘管有 96% 的比例支持增加延遲,但他們只佔據 MakerDAO 社群中不到 10% 的人數,假如票選延遲通過,那麼 MakerDAO 團隊將在世界協調時間(UTC)12 月 13 日的下午 5 點開始更動作業。
?相關報導?
MakerDAO 更新:本週一上線多抵押 DAI。去中心化穩定幣發展史的新里程碑
目標去中心化央行 — MakerDAO執行長DEVCON宣布推出「多重資產抵押以及儲蓄費」
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
