Сообщество Maker пытается исправить давнюю уязвимость к мгновенным кредитам

Сообщество MakerDAO (MKR) срочно принимает меры по предотвращению манипуляций с голосованием с помощью флеш-кредитов.Это было вызвано тем, что, вероятно, это первый случай использования этой функции, чтобы повлиять на голосование по управлению DeFi 26 октября.

Согласно сообщению, опубликованному участником сообщества LongForWisdom, кто-то использовал мгновенный заем, чтобы протолкнуть предложение об управлении.BProtocol, сервис, который позволяет пользователям объединять ликвидность для участия в долговых аукционах Maker, выступил в качестве виновника.

Предложение включило бы проект в белый список для доступа к ценовому оракулу Maker, что позволило бы запускать децентрализованные хранители.

BProtocol использовал функцию flash-ссуды dYdX – ссуду без поддержки, которая предоставляется только в том случае, если она также возвращается в том же блоке.Это требование означает, что его пользователи должны иметь заранее определенный путь для денег, которые они занимают, и это полезно только для операций, которые могут быть выполнены мгновенно.

Член сообщества Maker Monetsupply объяснил Cointelegraph, что в контрактах на управление не было периода блокировки:

“Current MKR gov system allows voters to lock their tokens, immediately vote to pass a proposal, and then unlock the tokens all in the same block.”

Использование краткосрочных кредитов для участия в управлении может рассматриваться как манипуляция, потому что деньги по сути бесплатны.Любой может использовать их для реализации своих собственных предложений, не являясь заинтересованной стороной Maker.

Возможности управления ограничены тем, сколько MKR содержится в различных протоколах DeFi.В этом конкретном случае MKR был получен от Aave, но для срочных кредитов доступно до 64000 MKR на сумму 34 миллиона долларов.Этого достаточно, чтобы повлиять хотя бы на некоторые из будущих предложений по управлению.

В связи с этим сообщество принимает меры по чрезвычайному сдерживанию, чтобы усложнить эксплуатацию, пока они ждут более окончательного решения.Двенадцатичасовая задержка между прохождением предложений и их выполнение – введенная, чтобы дать сообществу возможность оспорить злонамеренные голоса – будет увеличена до 72 часов.

Кроме того, сообщество отключает автоматические выключатели, которые позволили бы руководству отключать оракулы и процедуры ликвидации, так как злоумышленники потенциально могут злоупотреблять ими с целью использования системы за деньги.

Случай, вызвавший срабатывание сигнализации, был относительно незначительным: основатель BProtocol сказал, что «мы не имели в виду никакого вреда, и никакого вреда не было нанесено».Он также предположил, что это было «направлено на то, чтобы вызвать внутреннее техническое обсуждение», и что он не ожидал такой драматической реакции сообщества.

Предложение исправить основную проблему обсуждалось в течение как минимум трех недель, но «этот инцидент сделал его гораздо более неотложным», – сказал Monetsupply.

Относительно простое решение включает в себя измерение силы голоса пользователя по токенам, заблокированным в предыдущем блоке, предотвращая любую атаку на основе флэш-кредитов.Ожидается, что это исправление скоро будет добавлено Maker Foundation, хотя конкретные сроки пока не объявлены.

Некоторые в сообществе считают этот инцидент положительным, поскольку это была давняя проблема, которую «нужно было исправить раньше», – сказал участник форума TheoRochaix.Поскольку похоже, что никакого вреда не было, это гораздо менее затратный урок, чем провал аукциона в Черный четверг.