ソフトウェア開発者のミカ・ゾルトゥ(Micah Zoltu)氏が12月9日、分散型金融(DeFi)プロジェクト「メーカーダオ(MakerDAO)」のユーティリティトークン8万MKR(約43億5040万円)を元手に、同プロジェクトから約3億4000万ドル(約370億円)相当の仮想通貨イーサリアム(ETH)を盗み出す方法を解説した。これを受けて、メーカー財団がセキュリティ向上を目的としたガバナンス投票を開始した。
ゾルトゥ氏は、ブログにおいて次のように主張した。
「Maker DAO v2(複数担保型Dai。Multi-Collateral Dai:MCDのこと)は、すべての担保、さらにCompound(コンパウンド)、Uniswap(ユニスワップ)はじめ、メーカーダオと何らかの形で連携しているシステムにおいて、敵対的なMKR保有者が担保を盗み出すような行為に対するセーフガード機能を備えている。しかし彼ら(メーカー財団)は、この機能を利用しない設定を採用した」
ゾルトゥ氏によると、豊富な資金を持つ悪意ある攻撃者からの攻撃(あるいは誤った内容のスマートコントラクト)に備え、MCDはセーフガード機能として強制シャットダウンやガバナンス遅延など実施する「ガバナンス・セキュリティ・モジュール(GSM)」を用意しているという。強制的な遅延発生により安全な期間を設け、悪意があるものかどうか検証できるようにしているそうだ。
ところが、メーカー財団が遅延時間を「0秒」に設定していることをゾルトゥ氏は発見した。このため記事冒頭に挙げた金額があれば、すべての担保を盗み出せる上、1兆件のDAI生成などあらゆることを行えると警告した。
コミュニティに問題修正の是非を問う
ゾルトゥ氏は、メーカー財団はこの問題をMCD運用開始前から認識しており、修正しないことを選択していると指摘。現状のガバナンス制御からの変更はないだろうと説明していたが、メーカー財団は今回の投票提案に踏み切った形だ。
コミュニティが今回の提案を支持した場合、GSMによる遅延は0秒から24時間に増加する。悪意のある攻撃に対する検証・対策に関し、一定の時間を確保できることになる。
参考資料:https://jp.cointelegraph.com/news/makerdao-responds-to-dev-accusing-network-of-340m-vulnerabilty
●テレグラム始めました!
https://t.me/joinchat/F-7ftRCH5u_8J7k2JUM1rw
●無料でLINE@で有益情報を随時流しています。
https://t.me/joinchat/F-7ftRCH5u_8J7k2JUM1rw
●無料でLINE@で有益情報を随時流しています。
■トレードするならバイナンス!
https://www.binance.com/
■yobit net
https://yobit.net/en/
Source: 仮想通貨情報局