BTC/HKD+0.54%
ETH/HKD-0.13%
LTC/HKD+1.7%
DOT/HKD+0.15%
ADA/HKD-0.36%
SOL/HKD+0.33%
XRP/HKD+1.59%
DOGE/US+1.34%編者按:本文來自藍狐筆記,Odaily星球日報經授權轉載。前言:本文提出了對MakerDAO治理攻擊的可能模式,并提出了改進期望。由于MakerDao在整個以太坊的DeFi生態中具有非常重要的地位,也是當前鎖定資產量最大的DeFi項目,任何跟它有關的潛在風險都會對整個DeFi生態和以太坊產生重大影響。尤其考慮到可組合性,這也是雙刃劍。整個加密世界處于早期也很稚嫩,幾乎所有正常項目都具有共生共榮的特點,任何正常項目的風險都可能會轉化為整個領域的風險。不管如何,期望所有的DeFi項目都能夠不斷完善,一起推動區塊鏈行業的持續發展。本文作者MichaZoltu,由“藍狐筆記”社群的“CL”翻譯。摘要
任何人只要擁有大約40,000個MKR,也就是大約2000萬美元,就能夠偷走所有在MakerDAO上的抵押資產,包括Dai和Sai,以及來自Compound、Uniswap、和其他Maker集成系統的大量資產,全部加起來大約超過3.4億美元。MakerDAOv2,也就是多抵押資產的Dai,原本應該采用防御措施啟動的,這樣可以防止有敵意的MKR持有人劫掠所有抵押資產,防止可能掠走Uniswap、Compound、以及其他集成Maker的系統中的大量資產。相反,他們決定不這么做。銀行
MKR 24小時資金凈流入6.60億元人民幣:金色財經監測數據顯示,加密貨幣市場24小時資金凈流入排名前三分別為[2021/4/8 19:56:15]
MakerDAO是讓Dai運轉的東西。當前,已經有價值3.4億美元的ETH鎖定在其V1和V2版本中。跟Uniswap和Augur不同,它也是一個“治理”系統,這意味著某些有錢人可以控制系統的運作。設計
治理系統可以調用各種各樣的內部功能,以允許治理人實現各種他們想要的事情。治理是一個相當簡單的“利益相關者說了算”的系統,你可以在合約中權益質押你的MKR代幣,其中質押最多MKR的用戶得到控制權。由于當前的執行合約上有80,000MKR的權益質押代幣,這意味著,想對Maker合約做任何你想要的事情的成本大約是80,000MKR,換算成美元是4100萬美元。為了減輕惡意行為者的威脅,系統有個機制,在新執行合約被選擇之后,會存在一段執行的延遲時間。在此延遲時間,任何擁有足夠MKR數量的人都可以觸發整個系統的全球結算,從而可以在新執行合約做出任何不好的事情之前有效關閉系統。這意味著,如果劫掠者出現并試圖通過給執行合約投票以劫取所有抵押資產,即使他們擁有的代幣比其他執行合約更多,他們也必須等待這一延遲時間,并希望沒人在這期間觸發防御機制。疏忽
MKR 24小時資金凈流入3.97億元人民幣:金色財經監測數據顯示,加密貨幣市場24小時資金凈流入排名前三分別為[2021/2/1 18:38:41]
問題是Maker基金會已經確定此治理延遲的適當值是0秒。沒錯,防御者有0秒的時間來防御由有錢但惡意的攻擊者發起的攻擊。微妙之處
鑒于如上所述,攻擊者可以做如下的事情:不管通過何種方式,獲取80,000個MKR代幣。創建一份執行合約,它可以將所有Maker上的抵押資產轉給你。立即對合約進行投票。立即激活合約。拿著價值3.4億美元的ETH開溜。這具有讓人難以置信的利潤,有8倍的ROI,但執行起來很昂貴。不過,只需要有耐心就可以將攻擊成本將至50%。還記得我們上面提到的當前投票系統的運作方式是:擁有最多投票數的執行合約是擁有全部控制權的合約嗎?每當治理投票對提議進行表決時,MKR權益從舊執行合約轉入新執行合約會存在一段時間。這不會一次全部發生,它通常會隨著時間推移發生,因為個人轉移他們的投票會有時間。那么,在某個時間點上,將80,000個積極參與的MKR分到兩個執行合約,每個大約有40,000個MKR。一個好的腳本可以很容易進行交易計時,它可以在MKR給兩個執行合約最佳分配時進行恰時操作,并在那時執行上述攻擊,僅僅花費大約40,000MKR,也就是2000萬美元。收銀機
99Ex于7月21日上線DeFi代幣MKR、LRC:99Ex官方公告,MKR已于7月21日16:00 SGT正式上線99Ex,并開放MKR/USDT交易對;LRC將于7月21日18:00 SGT正式上線99Ex,并開放LRC/USDT交易對。99Ex目前已經上線COMP、BTM(2X)、KNC(3X)、BNT等DeFi類代幣。
?
據悉,MakerDAO(MKR)是以太坊上的去中心化自治組織和智能合約系統,提供以太坊上第一個去中心穩定貨幣Dai。路印科技Loopring(LRC)是一個開放的、基于ERC20和智能合約的代幣間多邊交易協議。99Ex是一個基于區塊鏈技術應用的多語言創新數字資產交易平臺,由OK CAPITAL、科銀資本、連接資本、鏈興資本戰略投資,累計交易用戶100萬+,日均交易用戶20萬+。[2020/7/21]
如果竊取3.4億美元還不滿足,那么,他們還可以在攻擊執行過程中鑄造出千萬億的Dai。在搶掠Maker的同一交易中,他們還可以將Dai移至Uniswap,并通過ETH交易對偷走所有ETH可用的流動資金。要從不走運的銀行顧客的口袋中獲得一些額外的零錢,他們還可以去Compound,出借千萬億的Dai,并借入所有可獲得的可借資金。如果他們行動迅速,在鑄造所有Dai之后,他們甚至能立即在一些半去中心化的交易所,例如IDEX、Paradex、RadarRelay等進行套現。群眾
動態 | 數據:MKR鏈上出現約1703.29萬美元大額轉賬:Whale Alert監測數據顯示,北京時間09:22,3.47萬枚MKR從0x7848開頭的未知地址轉入0x2d70開頭的未知地址,按當前價格計算,價值約1703.29萬美元,交易哈希為:0x2a7584dea571678370aa3ce00d273440c4d646184c9969b9a66b1e19e6f13878。[2019/12/22]
但是等一下,還有更多!以太坊是建立在具有約束力的協議之上的系統。這意味著,一個人能夠創建一個智能合約,其中多個互不信任的各方可以根據一套嚴格規則實現合謀。規則集可能如下:如果該合約集中了40,000個MKR,那么任何人都可以觸發它,且它將立即劫掠Maker。成功劫掠之后,戰利品會在MKR貢獻者之間平均分配。如果劫掠失敗,參與者可以取回MKR。任何時間任何人都可以拿回其MKR。這個智能合約非常簡單,它在貢獻MKR的參與者之間是具有約束力的協議,因此他們之間無須像傳統劫掠那樣需要彼此間的信任。沒人可以帶著所有戰利品逃跑,沒有人可以竊取其他參與者的貢獻,除了將所貢獻的MKR用于執行約定的行為之外,也沒有人可以將其用作其他任何事情。有人可能會爭辯,任何攻擊者都必須將其計劃傳達給人們,而Maker基金會可以簡單地打破其“我們不參與治理”的規則,通過將基金會的所有MKR用于投票,以制止攻擊。這樣,這會讓攻擊的成本上升到400,000,000MKR,而不是40,000MKR。如果Maker基金會看到這種情況的來臨,確實有能力阻止它。但是,沒有任何保證說,Maker基金會一定會察覺到它的來臨。例如,攻擊者可能在其他地方有資金,并且他們隨著時間用這些資金來購買MKR。攻擊者也可能是MKR持有人,他們知道其他MKR持有人具有一定的道德缺陷,他們可以在私下進行協調。即使具有約束力的協議合約是公開的,但它也能夠以一種混淆眾包的方式進行設計。例如,可以讓每個感興趣的人都向中心服務提供者提交預簽署的交易,然后中心服務提供者直到“動員”足夠的MKR之后才會廣播這些交易。在這種情況下,要么Maker基金會介入以集中控制系統,而不知道是否有人在行動,要么他們什么都不做,冒著隨時都會發生被攻擊的風險,且無法即時作出反應。局內人
動態 | EOS、TRX、BCH、XMR、DASH、MKR等項目已偏離正常市值區間:據TokenGazer量化研究模型顯示,當前(2月26日)EOS、TRX、BCH、XMR、DASH、MKR等項目已偏離正常市值區間,投資者應謹慎投資。[2019/2/26]
值得注意的是,Maker基金會現在就可以用這種方式攻擊系統,如果他們想的話。他們擁有遠超80,000MKR的代幣。更糟糕的是,a16z現在手上也擁有足夠的MKR實施有耐心的攻擊。還有一些其他的MKR持有人,他們的身份我們不清楚,他們也擁有足夠的代幣去實施耐心版本的攻擊。然后,還有少數人需要跟其他幾方合謀實施攻擊。這里讓人感到恐懼的是,這不是DeFi,而是CeFi。不是只有一個人能夠劫掠所有的錢,一些大的代幣持有人,或一群較小的代幣持有人也可以隨時合謀來劫掠所有資金。后果
那么,如果有人實施此種攻擊,對Maker用戶會有什么影響?首先,每個用戶的CDP/Vault將會擦除,劫掠者直接取走所有抵押資產。這會導致連鎖反應,Dai會變成抵押不足,其價格有可能會歸零。然后,MKR價值也將可能歸零,因為在這種情況下其整個系統基本上失敗了。在經歷這種級別的失敗之后,不太可能重新恢復。以太坊也可能會因此遭受不小的重創,因為這算是以太坊生態系統內的一個重大失敗。也許它會恢復過來,因為它依然是個好的平臺,但這提醒大家“人們可以在好的事情上構建壞的事情”,這是對非理性繁榮的清醒。防御措施
我已經與Maker提出過這種攻擊場景,他們明確表示,放棄即時的治理控制來防止此類攻擊是不值得的。他們辯護論點的一般主題如下,,其中也包括了我的反駁:攻擊向量已經存在很長一段時間了,但迄今為止情況還不錯。在被發現之前,Heartbleed已經存在10年了。Maker的源代碼難以遵循,且在以太坊開發者社區中有不少抱怨。之前,我曾親自告訴他們我沒有審計Maker合約,因為其代碼很難閱讀。我最終咬緊牙關并深入Makerv2,因為它應該是安全的。僅僅因為沒有人實施過攻擊,并不意味著他們將來不會實施攻擊。當向量變得廣為人知時,更是如此。除了少數幾個人執行之外,對任何人來說,都太昂貴了。請參考上述提到的,同時也請注意,攻擊只需要一個人即可實施。因此,“除了少數幾個人過于昂貴”的說法,并不會讓系統安全。攻擊者必須傳播其攻擊計劃僅當攻擊來自于大量MKR持有人協同工作時,且僅當Maker愿意在有人可能為攻擊做準備時設置防御我們將對任何攻擊者采取法律行動這幾乎是對DeFi的打臉。以太坊生態中的很多人試圖保護其資產安全。而這種方式無法保護所有。同樣,它假定攻擊者不是匿名的。以太坊上很難匿名確實,以太坊上很難匿名。盡管如此,DAO攻擊者依然未知。中本聰依然未知。很多非常富有的ETH持有人也是未知的。“很難”并非是抵御大規模獲利攻擊的好防御。這是已知的風險,但未知的風險可能會更糟。我非常不同意這種風險評估。你有一個已知的風險,其攻擊系統可以獲利頗豐,并正在與未知影響和未知可能性的未知風險進行比較。這種思路是“沒有值得我們放棄控制的攻擊向量”。
前幾天,一場關于Mimblewimble隱私保護的辯論在推特上引起熱烈地討論。該事件源于DragonflyCapital研究員IvanBogatyy發布在Medium上的一篇文章.
1900/1/1 0:00:00文|王也編輯|Mandy王夢蝶出品|Odaily星球日報12月13日,Tezos24h漲幅超過12%,躋身數字貨幣總市值前十.
1900/1/1 0:00:00淘集集之死 12月9日估值8億美金淘集集宣布重大重組失敗,尋求破產清算或破產重整,估值8億美金的公司就這樣說沒就沒了.
1900/1/1 0:00:00文|王也編輯|郝方舟出品|Odaily星球日報今年,好項目遍地難尋、投資機構出手謹慎。年末的一起投資引起了行業注意.
1900/1/1 0:00:00編者按:本文來自加密谷Live,作者:姚前,Odaily星球日報經授權轉載。基于分布式賬本技術的新一代金融市場基礎設施可以使金融服務變得更加開放、更有活力、更有韌性,同時也使金融監管更加精準.
1900/1/1 0:00:00編者按:本文來自01區塊鏈,作者:LaelBrainard,Odaily星球日報經授權轉載。本篇美聯儲理事LaelBrainard的長篇發言,是有關美聯儲在數字貨幣相關問題上立場非常重要的一篇講.
1900/1/1 0:00:00
比特幣交易所
