La communauté Maker s’efforce de corriger la vulnérabilité de longue date aux prêts flash

Please follow and like us:

La communauté MakerDAO met en œuvre de toute urgence des mesures pour empêcher la manipulation du vote via des prêts flash. Cela a été précipité par ce qui est probablement le premier exemple de la fonctionnalité utilisée pour influencer un vote de gouvernance financière décentralisée lundi.

Selon un article publié par le membre de la communauté “LongForWisdom”, quelqu’un a utilisé un prêt flash pour forcer une proposition de gouvernance. BProtocol, un service qui permet aux utilisateurs de mettre en commun des liquidités pour participer aux enchères de créances Maker, s’est présenté comme le coupable.

La proposition aurait mis le projet sur liste blanche pour accéder à l’oracle des prix de Maker, permettant ainsi d’exécuter des gardiens décentralisés.

BProtocol a utilisé la fonction de prêt flash de dYdX – un prêt non adossé qui n’est accordé que s’il est également retourné dans le même bloc. Cette exigence signifie que ses utilisateurs doivent avoir un chemin prédéfini pour l’argent qu’ils empruntent, et cela n’est utile que pour les opérations qui peuvent être effectuées instantanément.

Le membre de la communauté Maker “Monetsupply” a expliqué à Cointelegraph que les contrats de gouvernance ne comportaient aucune période de blocage:

«Le système gouvernemental MKR actuel permet aux électeurs de verrouiller leurs jetons, de voter immédiatement pour adopter une proposition, puis de déverrouiller les jetons tous dans le même bloc.»

L’utilisation de prêts flash pour s’engager dans la gouvernance peut être considérée comme manipulatrice car l’argent est essentiellement gratuit. N’importe qui peut les utiliser pour exécuter ses propres propositions sans être partie prenante du Maker.

Le pouvoir de gouvernance est limité à la quantité de MKR contenue dans divers protocoles DeFi. Dans ce cas précis, MKR provenait d’Aave, mais jusqu’à 64 000 MKR, d’une valeur de 34 millions de dollars, sont disponibles pour des prêts flash. Cela suffit pour influencer au moins certaines des futures propositions de gouvernance.

Pour cette raison, la communauté engage des mesures de confinement d’urgence pour rendre l’exploitation plus difficile en attendant une solution plus définitive. Un délai de douze heures entre le passage des propositions et leur exécution – introduit pour permettre à la communauté de contester les votes malveillants – sera porté à 72 heures.

En outre, la communauté désactive les disjoncteurs qui permettraient à la gouvernance de désactiver les oracles et les liquidations, car ils pourraient être potentiellement abusés par des acteurs malveillants pour exploiter le système pour de l’argent.

Le cas qui a déclenché les alarmes était relativement mineur, le fondateur de BProtocol affirmant que «nous ne voulions pas faire de mal, et aucun mal n’a été fait. Il a en outre suggéré que cela «visait à déclencher une discussion technique interne» et qu’il ne s’attendait pas à une réponse communautaire aussi spectaculaire.

Une proposition pour résoudre le problème sous-jacent était en cours de discussion pendant au moins trois semaines, mais «Cet incident a rendu la situation beaucoup plus urgente», a déclaré Monetsupply.