編者按:本文來自藍狐筆記,Odaily星球日報經授權轉載。前言:本文提出了對MakerDAO治理攻擊的可能模式,并提出了改進期望。由于MakerDao在整個以太坊的DeFi生態中具有非常重要的地位,也是當前鎖定資產量最大的DeFi項目,任何跟它有關的潛在風險都會對整個DeFi生態和以太坊產生重大影響。尤其考慮到可組合性,這也是雙刃劍。整個加密世界處于早期也很稚嫩,幾乎所有正常項目都具有共生共榮的特點,任何正常項目的風險都可能會轉化為整個領域的風險。不管如何,期望所有的DeFi項目都能夠不斷完善,一起推動區塊鏈行業的持續發展。本文作者MichaZoltu,由“藍狐筆記”社群的“CL”翻譯。摘要
任何人只要擁有大約40,000個MKR,也就是大約2000萬美元,就能夠偷走所有在MakerDAO上的抵押資產,包括Dai和Sai,以及來自Compound、Uniswap、和其他Maker集成系統的大量資產,全部加起來大約超過3.4億美元。MakerDAOv2,也就是多抵押資產的Dai,原本應該采用防御措施啟動的,這樣可以防止有敵意的MKR持有人劫掠所有抵押資產,防止可能掠走Uniswap、Compound、以及其他集成Maker的系統中的大量資產。相反,他們決定不這么做。銀行
FalconX過去7天從Binance提取8951枚MKR,約合1050萬美元:7月28日消息,據Lookonchain數據監測,加密貨幣經紀商FalconX在過去7天從Binance總計提取8951枚MKR,價值約1050萬美元。[2023/7/28 16:04:06]
MakerDAO是讓Dai運轉的東西。當前,已經有價值3.4億美元的ETH鎖定在其V1和V2版本中。跟Uniswap和Augur不同,它也是一個“治理”系統,這意味著某些有錢人可以控制系統的運作。設計
治理系統可以調用各種各樣的內部功能,以允許治理人實現各種他們想要的事情。治理是一個相當簡單的“利益相關者說了算”的系統,你可以在合約中權益質押你的MKR代幣,其中質押最多MKR的用戶得到控制權。由于當前的執行合約上有80,000MKR的權益質押代幣,這意味著,想對Maker合約做任何你想要的事情的成本大約是80,000MKR,換算成美元是4100萬美元。為了減輕惡意行為者的威脅,系統有個機制,在新執行合約被選擇之后,會存在一段執行的延遲時間。在此延遲時間,任何擁有足夠MKR數量的人都可以觸發整個系統的全球結算,從而可以在新執行合約做出任何不好的事情之前有效關閉系統。這意味著,如果劫掠者出現并試圖通過給執行合約投票以劫取所有抵押資產,即使他們擁有的代幣比其他執行合約更多,他們也必須等待這一延遲時間,并希望沒人在這期間觸發防御機制。疏忽
某鯨魚向Binance存入1400枚MKR:金色財經報道,據The Data Nerd監測,2小時前,鯨魚0x828向Binance存入1400枚MKR(156萬美元)并在DEX上出售200枚MKR(22.4萬美元)。他從7月初開始積累,賺取了32萬美元的利潤。此外,自7月22日以來,他還總共購買了2萬枚ETH并且仍然持有。[2023/7/26 15:59:34]
問題是Maker基金會已經確定此治理延遲的適當值是0秒。沒錯,防御者有0秒的時間來防御由有錢但惡意的攻擊者發起的攻擊。微妙之處
鑒于如上所述,攻擊者可以做如下的事情:不管通過何種方式,獲取80,000個MKR代幣。創建一份執行合約,它可以將所有Maker上的抵押資產轉給你。立即對合約進行投票。立即激活合約。拿著價值3.4億美元的ETH開溜。這具有讓人難以置信的利潤,有8倍的ROI,但執行起來很昂貴。不過,只需要有耐心就可以將攻擊成本將至50%。還記得我們上面提到的當前投票系統的運作方式是:擁有最多投票數的執行合約是擁有全部控制權的合約嗎?每當治理投票對提議進行表決時,MKR權益從舊執行合約轉入新執行合約會存在一段時間。這不會一次全部發生,它通常會隨著時間推移發生,因為個人轉移他們的投票會有時間。那么,在某個時間點上,將80,000個積極參與的MKR分到兩個執行合約,每個大約有40,000個MKR。一個好的腳本可以很容易進行交易計時,它可以在MKR給兩個執行合約最佳分配時進行恰時操作,并在那時執行上述攻擊,僅僅花費大約40,000MKR,也就是2000萬美元。收銀機
數據:MakerDAO治理代幣MKR每日鏈上轉移量達歷史新高:Glassnode數據顯示,MakerDAO治理代幣MKR在過去24小時內鏈上轉移量突破1100萬美元,超過了上一次歷史峰值2020年8月13日的1,090萬美元。轉移量是指鏈上轉移的代幣總價值。Glassnode將轉移量和整體交易量加以區分,前者涉及區塊鏈網絡參與者之間的財富轉移,后者則還包括發生在鏈下的轉移,以及內部錢包之間的轉移。目前,Maker每日交易量接近10億美元。[2021/1/11 15:50:19]
如果竊取3.4億美元還不滿足,那么,他們還可以在攻擊執行過程中鑄造出千萬億的Dai。在搶掠Maker的同一交易中,他們還可以將Dai移至Uniswap,并通過ETH交易對偷走所有ETH可用的流動資金。要從不走運的銀行顧客的口袋中獲得一些額外的零錢,他們還可以去Compound,出借千萬億的Dai,并借入所有可獲得的可借資金。如果他們行動迅速,在鑄造所有Dai之后,他們甚至能立即在一些半去中心化的交易所,例如IDEX、Paradex、RadarRelay等進行套現。群眾
Gate.io上線CHZ、EGLD和MKR杠桿ETF產品交易:據官方公告,Gate.io已上線Chiliz(CHZ),Elrond(EGLD)和MakerDAO(MKR)多倍做多和做空杠桿產品,漲跌幅為對應幣種市場的多倍。ETF產品在永續合約市場對沖管理,僅收取每日0.1%管理費來彌補合約市場手續費和資金費率等開銷成本,但不額外收取合約資金費率。由于區塊鏈杠桿ETF產品漲跌幅度大,風險很高,請務必謹慎參與。[2021/1/9 15:44:22]
但是等一下,還有更多!以太坊是建立在具有約束力的協議之上的系統。這意味著,一個人能夠創建一個智能合約,其中多個互不信任的各方可以根據一套嚴格規則實現合謀。規則集可能如下:如果該合約集中了40,000個MKR,那么任何人都可以觸發它,且它將立即劫掠Maker。成功劫掠之后,戰利品會在MKR貢獻者之間平均分配。如果劫掠失敗,參與者可以取回MKR。任何時間任何人都可以拿回其MKR。這個智能合約非常簡單,它在貢獻MKR的參與者之間是具有約束力的協議,因此他們之間無須像傳統劫掠那樣需要彼此間的信任。沒人可以帶著所有戰利品逃跑,沒有人可以竊取其他參與者的貢獻,除了將所貢獻的MKR用于執行約定的行為之外,也沒有人可以將其用作其他任何事情。有人可能會爭辯,任何攻擊者都必須將其計劃傳達給人們,而Maker基金會可以簡單地打破其“我們不參與治理”的規則,通過將基金會的所有MKR用于投票,以制止攻擊。這樣,這會讓攻擊的成本上升到400,000,000MKR,而不是40,000MKR。如果Maker基金會看到這種情況的來臨,確實有能力阻止它。但是,沒有任何保證說,Maker基金會一定會察覺到它的來臨。例如,攻擊者可能在其他地方有資金,并且他們隨著時間用這些資金來購買MKR。攻擊者也可能是MKR持有人,他們知道其他MKR持有人具有一定的道德缺陷,他們可以在私下進行協調。即使具有約束力的協議合約是公開的,但它也能夠以一種混淆眾包的方式進行設計。例如,可以讓每個感興趣的人都向中心服務提供者提交預簽署的交易,然后中心服務提供者直到“動員”足夠的MKR之后才會廣播這些交易。在這種情況下,要么Maker基金會介入以集中控制系統,而不知道是否有人在行動,要么他們什么都不做,冒著隨時都會發生被攻擊的風險,且無法即時作出反應。局內人
火幣BAL、REN、MKR、IOST和JST永續合約已正式上線:據火幣官方消息,火幣BAL(Balancer)、REN(Republic Protocol)、MKR(Maker)、IOST(IOST)和JST(JUST)永續合約已于新加坡時間8月19日16點正式上線。用戶現可在平臺進行劃轉、交易等操作。
在五大幣種上線前,火幣合約已向其永續合約風險準備金余額中分別注入5,000個BAL、342,000個REN 、130個MKR、15,873,000個IOST和1,300,000個JST。此次五幣種完成上線后,火幣永續合約已覆蓋包括主流幣種和熱門DeFi幣種在內共三十二個幣種,支持用戶在Web端、API端和APP端操作,最高125x倍數。其中BTC、ETH、LTC支持實時結算功能,已實現盈利部分(扣除掉浮動虧損和占用保證金等)可隨時提取。更多詳情請查看火幣合約官網公告。[2020/8/19]
值得注意的是,Maker基金會現在就可以用這種方式攻擊系統,如果他們想的話。他們擁有遠超80,000MKR的代幣。更糟糕的是,a16z現在手上也擁有足夠的MKR實施有耐心的攻擊。還有一些其他的MKR持有人,他們的身份我們不清楚,他們也擁有足夠的代幣去實施耐心版本的攻擊。然后,還有少數人需要跟其他幾方合謀實施攻擊。這里讓人感到恐懼的是,這不是DeFi,而是CeFi。不是只有一個人能夠劫掠所有的錢,一些大的代幣持有人,或一群較小的代幣持有人也可以隨時合謀來劫掠所有資金。后果
那么,如果有人實施此種攻擊,對Maker用戶會有什么影響?首先,每個用戶的CDP/Vault將會擦除,劫掠者直接取走所有抵押資產。這會導致連鎖反應,Dai會變成抵押不足,其價格有可能會歸零。然后,MKR價值也將可能歸零,因為在這種情況下其整個系統基本上失敗了。在經歷這種級別的失敗之后,不太可能重新恢復。以太坊也可能會因此遭受不小的重創,因為這算是以太坊生態系統內的一個重大失敗。也許它會恢復過來,因為它依然是個好的平臺,但這提醒大家“人們可以在好的事情上構建壞的事情”,這是對非理性繁榮的清醒。防御措施
我已經與Maker提出過這種攻擊場景,他們明確表示,放棄即時的治理控制來防止此類攻擊是不值得的。他們辯護論點的一般主題如下,,其中也包括了我的反駁:攻擊向量已經存在很長一段時間了,但迄今為止情況還不錯。在被發現之前,Heartbleed已經存在10年了。Maker的源代碼難以遵循,且在以太坊開發者社區中有不少抱怨。之前,我曾親自告訴他們我沒有審計Maker合約,因為其代碼很難閱讀。我最終咬緊牙關并深入Makerv2,因為它應該是安全的。僅僅因為沒有人實施過攻擊,并不意味著他們將來不會實施攻擊。當向量變得廣為人知時,更是如此。除了少數幾個人執行之外,對任何人來說,都太昂貴了。請參考上述提到的,同時也請注意,攻擊只需要一個人即可實施。因此,“除了少數幾個人過于昂貴”的說法,并不會讓系統安全。攻擊者必須傳播其攻擊計劃僅當攻擊來自于大量MKR持有人協同工作時,且僅當Maker愿意在有人可能為攻擊做準備時設置防御我們將對任何攻擊者采取法律行動這幾乎是對DeFi的打臉。以太坊生態中的很多人試圖保護其資產安全。而這種方式無法保護所有。同樣,它假定攻擊者不是匿名的。以太坊上很難匿名確實,以太坊上很難匿名。盡管如此,DAO攻擊者依然未知。中本聰依然未知。很多非常富有的ETH持有人也是未知的。“很難”并非是抵御大規模獲利攻擊的好防御。這是已知的風險,但未知的風險可能會更糟。我非常不同意這種風險評估。你有一個已知的風險,其攻擊系統可以獲利頗豐,并正在與未知影響和未知可能性的未知風險進行比較。這種思路是“沒有值得我們放棄控制的攻擊向量”。
Tags:MKRMakerMAKE以太坊MKR價格makerdao創始人mushgainmaker幣終極計劃以太坊幣最新價格美元
編者按:本文來自一塊Plus社區,作者:胡鵬,Odaily星球日報經授權轉載。編者注:本文作者胡鵬,一塊+開發者社區忠實愛好者.
1900/1/1 0:00:00新華財經北京12月9日電轉型是全球能源發展的永恒主題。近年來應對氣候變化推動可再生能源比重穩步上升,美國“頁巖革命”促使全球加速從煤炭向天然氣轉型,新一代信息技術與人工智能技術深度參與能源技術革.
1900/1/1 0:00:00BTC平均價格走出“陰跌”行情考驗投資者耐心,市場預期有分歧走出“陰霾”需要合力2019年第42期總第54期報告要點從市場交易數據來看,BTC平均價格持續下跌,交易量圍繞著地量水平波動.
1900/1/1 0:00:00編者按:本文來自以太坊愛好者,作者:ThomasJayRush,翻譯&校對:曾汨&阿劍,Odaily星球日報經授權轉載。每當以太坊的定時炸彈爆炸時,總會有兩個問題出現在我們面前.
1900/1/1 0:00:00先給大家一個段子輕松一下某天老陳和老張說:“為什么USDT只有中午能夠使用?”老張不解的想:不對呀.
1900/1/1 0:00:00編者按:本文來自DeepChain深鏈,作者:不二做,Odaily星球日報經授權轉載。“法蘭西,你們的皇帝回來了。”1815年3月1日,一掃失敗的陰霾,拿破侖率領700士兵重回法國.
1900/1/1 0:00:00