MakerDAO hat einen Fehler im System
Der Softwareentwickler Micah Zoltu hat in einem Blogbeitrag vor einer folgenschweren Sicherheitslücke in MakerDAO gewarnt. Seine Entdeckung ist insofern ungewöhnlich, als das die Attacke keinen ausgefeilten Hack erfordern würde.
Stattdessen müsste sich ein potentieller Angreifer einfach nur der Regeln des Governancemodells bedienen, so Zoltu. Mit ausreichend Geld im Gepäck soll es nämlich in extrem kurzer Zeit möglich sein, volle 340 Millionen US-Dollar zu erbeuten.
Denn im Prinzip bräuchte man nur genug Maker (MKR), um für seinen eigenen Vorschlag abzustimmen. Nämlich alles Ether an den Angreifer auszuzahlen, was durch MakerDAO als Reserve gehalten wird.
Eine teure Attacke
Die guten Neuigkeiten bestehen tatsächlich in der enormen Summe, die es Kosten würde, sich das Ether „freizuschalten“. Rund 20 Millionen US-Dollar in MKR müsste man schon auf den Tisch legen können.
MakerDAO ist das Protokoll, welches den Stablecoin DAI regelt. Einen dezentralen ERC-20 Token, der auf der Ethereum Blockchain ausgegeben wird und den Wert von knapp einem US-Dollar hat. Um dem Token einen Wert zu verleihen, wird von den Nutzern Ether als Reserve hinterlegt. Diese Einlagen betragen im Augenblick die besagten 340 Millionen US-Dollar.
Obwohl nicht jeder das nötige Kleingeld hat, um die Attacke auszuführen, gibt es dennoch eine ganze Reihe unbekannter Personen, die entweder über die notwendige Summe verfügen oder sich zu diesem Zweck im kleinen Kreis zusammenschließen könnten.
Keine Zeit zur Gegenwehr
Laut Zoltu ist es möglich die Abstimmung unter bestimmten Konditionen blitzschnell durchzuführen. Würde man den Prozess geschickt genug in Gang setzen, dann bliebe keine Zeit zur Gegenwehr. Denn andere Stakeholder könnten dann nicht mehr reagieren, um den Angreifer zu überstimmen.
Die geringe Ausführungszeit wäre dabei ebenfalls keine Leistung des Angreifers, sondern ist ebenfalls ein Feature, welches in diesem Fall fatale Auswirkungen hätte. Die Maker Foundation sieht das freilich anders. Jedoch sind einige ihrer Argumente aus der Vergangenheit tatsächlich bedenklich.
Foundation handelt spät
Darunter der Hinweis, dass die Sicherheitslücke bekannt ist aber bisher nie ausgenutzt wurde. Außerdem war man der Meinung, dass man schon mitbekommen würde, wenn sich jemand genug MKR für eine Attacke kaufen will.
Da es aber schon Personen gibt, die über ein solches Vermögen verfügen, wirkt der Ansatz tatsächlich nicht ausgereift. Genau wie die Idee, dass ein Angreifer mit den 340 Millionen US-Dollar in ETH nicht anonym bleiben könnte und man ihn dann verklagen kann.
Doch Zoltus Bericht hat Eindruck hinterlassen. Laut einer Meldung der Foundation plant man jetzt den Zeitraum aus Sicherheitsgründen zu vergrößern. Von 0 auf 24 Stunden. Damit dürfte das Problem partiell behoben sein. Es sei denn, jemand hat die absolute Mehrheit auf seiner Seite.
