La communauté Maker s’efforce de corriger la vulnérabilité de longue date aux prêts flash
La communauté MakerDAO met en œuvre de toute urgence des mesures pour empêcher la manipulation du vote via des prêts flash. Cela a été précipité par ce qui est probablement le premier exemple de la fonctionnalité utilisée pour influencer un vote de gouvernance financière décentralisée lundi.
Selon un article publié par le membre de la communauté “LongForWisdom”, quelqu’un a utilisé un prêt flash pour forcer une proposition de gouvernance. BProtocol, un service qui permet aux utilisateurs de mettre en commun des liquidités pour participer aux enchères de créances Maker, s’est présenté comme le coupable.
La proposition aurait mis le projet sur liste blanche pour accéder à l’oracle des prix de Maker, permettant ainsi d’exécuter des gardiens décentralisés.
BProtocol a utilisé la fonction de prêt flash de dYdX – un prêt non adossé qui n’est accordé que s’il est également retourné dans le même bloc. Cette exigence signifie que ses utilisateurs doivent avoir un chemin prédéfini pour l’argent qu’ils empruntent, et cela n’est utile que pour les opérations qui peuvent être effectuées instantanément.
Le membre de la communauté Maker “Monetsupply” a expliqué à Cointelegraph que les contrats de gouvernance ne comportaient aucune période de blocage:
«Le système gouvernemental MKR actuel permet aux électeurs de verrouiller leurs jetons, de voter immédiatement pour adopter une proposition, puis de déverrouiller les jetons tous dans le même bloc.»
L’utilisation de prêts flash pour s’engager dans la gouvernance peut être considérée comme manipulatrice car l’argent est essentiellement gratuit. N’importe qui peut les utiliser pour exécuter ses propres propositions sans être partie prenante du Maker.
Le pouvoir de gouvernance est limité à la quantité de MKR contenue dans divers protocoles DeFi. Dans ce cas précis, MKR provenait d’Aave, mais jusqu’à 64 000 MKR, d’une valeur de 34 millions de dollars, sont disponibles pour des prêts flash. Cela suffit pour influencer au moins certaines des futures propositions de gouvernance.
Pour cette raison, la communauté engage des mesures de confinement d’urgence pour rendre l’exploitation plus difficile en attendant une solution plus définitive. Un délai de douze heures entre le passage des propositions et leur exécution – introduit pour permettre à la communauté de contester les votes malveillants – sera porté à 72 heures.
En outre, la communauté désactive les disjoncteurs qui permettraient à la gouvernance de désactiver les oracles et les liquidations, car ils pourraient être potentiellement abusés par des acteurs malveillants pour exploiter le système pour de l’argent.
Le cas qui a déclenché les alarmes était relativement mineur, le fondateur de BProtocol affirmant que «nous ne voulions pas faire de mal, et aucun mal n’a été fait. Il a en outre suggéré que cela «visait à déclencher une discussion technique interne» et qu’il ne s’attendait pas à une réponse communautaire aussi spectaculaire.
Une proposition pour résoudre le problème sous-jacent était en cours de discussion pendant au moins trois semaines, mais «Cet incident a rendu la situation beaucoup plus urgente», a déclaré Monetsupply.
Une solution relativement simple consiste à mesurer le pouvoir de vote d’un utilisateur à partir des jetons verrouillés dans le bloc précédent, en déjouant toute attaque basée sur un prêt flash. Ce correctif devrait être ajouté prochainement par la Maker Foundation, bien qu’aucune échéance concrète n’ait encore été annoncée.
Certains membres de la communauté considèrent cet incident comme une bonne chose, car c’était un problème de longue date qui «aurait dû être résolu avant», a déclaré le membre du forum «TheoRochaix». Comme aucun mal ne semble avoir été fait, c’est une leçon beaucoup moins coûteuse que l’échec des enchères du jeudi noir.
Crédit: Lien source
Laisser un commentaire