A principios de diciembre, la Maker Foundation organizó una serie de encuestas de gobernanza en su sitio web para aliviar las crecientes preocupaciones tras las acusaciones presentadas por el desarrollador Micah Zoltu con respecto a cómo los hackers, con suficientes recursos financieros, podrían potencialmente llevar a cabo un ataque contra la red MakerDAO y robar cerca de 340 millones de dólares.
Como parte de la iniciativa, el equipo de riesgo interino de la fundación preguntó a su comunidad global de usuarios si debían actualizar el Módulo de Seguridad de Gobierno (GSM, por sus siglas en inglés) nativo de la plataforma de 0 segundos a 24 horas.
En esencia, el GSM permite a los titulares de los tokens de MKR revisar cualquier cambio nuevo que se haya propuesto para el ecosistema de MakerDAO, dando así a los participantes de la red la oportunidad de actuar si cualquier cambio potencial se considera malicioso.
La pregunta de los 340 millones de dólares
En cuanto al asunto, Zoltu publicó un blog el 9 de diciembre afirmando que cualquier hacker con 20 millones de dólares desechables podría potencialmente lanzar un ataque a gran escala contra la red de MakerDAO y embolsarse una cantidad de Ether (ETH) de 340 millones de dólares. También se le citó diciendo:
"Se suponía que el Maker DAO v2 se lanzaría con garantías para protegerse contra un poseedor hostil de MKR que robara todos los colaterales y potencialmente robara una buena parte de los sistemas Uniswap, Compound y otros sistemas integrados con Maker en el proceso. En cambio, decidieron no hacerlo".
El principal punto de controversia de Zoltu es que el marco operativo de MakerDAO está plagado de un fallo técnico extremadamente especializado: un pequeño retraso de tiempo basado en GSM dentro del sistema cada vez que selecciona un nuevo contrato para ejecutar.
Aunque este retraso permite que la red decida si el contrato en cuestión es malicioso o no, los hackers y cualquier tercero pueden aprovechar el tiempo que tardan en votar en contra de sus propios contratos que han sido programados para robar todo el material almacenado de la plataforma.
Explicando más sobre las vulnerabilidades de la red, Zoltu añadió que los hackers con 80.000 Maker (MKR) tienen actualmente la opción de hacer lo que les plazca con los contratos nativos de Maker. Esto se debe a que el cociente de retraso GSM actual del sistema está fijado en 0 segundos, lo que deja a los defensores de la red completamente indefensos frente a los ataques iniciados por agentes ricos y maliciosos.
Relacionado: ¿Podría la tecnología Blockchain prevenir la próxima crisis financiera?
Maker Foundation niega el problema
Desde que el problema llamó la atención de la comunidad mundial cripto, el equipo de MakerDAO se ha negado a reconocer ninguna de las afirmaciones de Zoltu. En cambio, han tratado de enmendar el problema mediante la organización de varias encuestas comunitarias y la publicación de artículos en blogs en los que se esboza su posible plan de acción en relación con el asunto.
Para comprender mejor la situación, Cointelegrah se puso en contacto con Robert Beadles, presidente de la cartera de criptomonedas Monarch. Sobre el tema, señaló:
"Micah saca a relucir algunas preocupaciones reales que parecen no tener solución. Uno de los problemas de estos contratos inteligentes descentralizados es que son tan inteligentes como la persona que los escribió".
Beadles continuó diciendo que muy pocas personas en el mundo pueden encontrar tales vulnerabilidades y explotarlas, ya que las criptomonedas son todavía un fenómeno muy nuevo, agregando que:
"Uno de los inconvenientes de tener código abierto es que la gente que lo entiende y tiene tiempo puede encontrar formas de romperlo o explotarlo. Si Micah está en lo cierto, y parece que lo está, será mejor que lo parcheen rápido".
Un punto de vista similar es compartido por Jefferey Liu Xun, el CEO de XanPool – un portal P2P para comprar con dinero FIAT, Dijo a Cointelegraph que desde un punto de vista puramente técnico, las afirmaciones de Zoltu parecen válidas. Además, cree que es la buena voluntad de unos pocos lo que mantiene la integridad del sistema, algo que es cierto en el mundo de la criptomonedas para la gran mayoría de los proyectos. Xun añadió:
"Por mucho que a muchos proyectos les gustaría pensar que la integridad de su sistema proviene de su tecnología, se mantienen unidos socialmente, dependiendo de la buena voluntad de las principales partes interesadas, como las ballenas y los desarrolladores. A menudo cuando se construye un sistema complejo sobre Ethereum, es difícil medir TODOS los resultados posibles".
Explicando más sobre su posición, Xun destacó que una gran mayoría de usuarios y corredores de nodos asociados con un proyecto en particular casi nunca verifican el código que ellos mismos están ejecutando, lo que los pone a merced de los desarrolladores y de la fundación - esencialmente, confiando en su reputación y en su propio interés.
No sólo eso, sino que también señaló que la gran mayoría de todos los proyectos basados en monedas (como el XRP) están controlados por unos pocos actores importantes que, en última instancia, tienen la capacidad de manipular el precio de la moneda. Cointelegraph también se puso en contacto con Lewis Daniels, presidente de la empresa de inversiones Mayfair Ventures. Señaló lo siguiente:
"Como la criptomoneda Dai está respaldada por un superávit en los contratos inteligentes en la cadena Ethereum, lo que hace que los préstamos sean inseguros y luego puedan causar varios problemas de liquidación, estos son accesibles debido a la laguna en el contrato inteligente".
Una vulnerabilidad fácil de rectificar
Mientras que el problema de vulnerabilidad de MakerDAO puede haber causado bastante revuelo globalmente, el problema parece ser bastante sencillo y puede ser corregido sin ninguna dificultad aparente.
Sobre el tema, Pascal Thellmann, CEO de la plataforma de revisión de proyectos y guías CoinDiligent, dijo a Cointelegraph que en su artículo, Zoltu sólo ha hablado realmente sobre el costo de obtener los tokens MKR necesarios para realizar el ataque. Sin embargo, ignora los costos mucho mayores asociados con las posibles consecuencias legales, el costo de lavar y retirar los fondos, y el riesgo de coordinación minera para revertir el ataque. Thellman procedió entonces a añadir:
"El ataque que Zoltu esboza no es económicamente atractivo para un individuo normal. El único actor malicioso que podría llevar a cabo este ataque es un estado-nación sin escrúpulos, como Corea del Norte, ya que no tendrían que preocuparse por las posibles consecuencias legales y son capaces de dar uso a los fondos, independientemente de que estén contaminados".
Xun también cree que el problema es relativamente fácil de resolver, señalando que el propio Zoltu lo planteó antes de que la Fundación Maker le diera prioridad.
Denegado a comentar
Mientras que las vulnerabilidades presentadas por Zoltu pueden no ser tan serias como se imaginaba anteriormente, el hecho de que el equipo de relaciones públicas de MakerDAO se haya negado a reconocer plenamente sus afirmaciones parece extraño tanto para los expertos como para la comunidad.
Cointelegraph se acercó a Maker con la esperanza de tener una visión más clara de la situación, pero un portavoz de la organización se negó a comentar el cuestionario enviado, citando en su lugar una entrada de blog publicada por la empresa el 9 de diciembre.
Sigue leyendo:
- Dai alcanza un techo de deuda de 100 millones antes de la actualización del protocolo de garantía
- MakerDAO responde a desarrollador que acusa a la red de una vulnerabilidad que podría costar USD 340 millones
- Todo lo que debes saber sobre los cambios del MakerDAO y Dai
- El volumen de futuros de Bitcoin de Bakkt explota un 260% al comerciar USD 11 millones en 24 horas
- Empresa 'fintech' trueDigital amplía distribución de tasas de referencia de venta libre para ETH y BTC
- Santander se une a otros bancos en el bloqueo a Coinbase en el Reino Unido: Informe
