La communauté Maker s’efforce de corriger la vulnérabilité de longue date aux prêts flash

La communauté Maker s’efforce de corriger la vulnérabilité de longue date aux prêts flash

District0x crypto

La communauté MakerDAO (MKR) met en œuvre de toute urgence des mesures pour empêcher la manipulation du vote par le biais de prêts flash. Cela a été précipité par ce qui est probablement la première instance de la fonctionnalité utilisée pour influencer un vote sur la gouvernance DeFi le 26 octobre.

Selon un article publié par le membre de la communauté LongForWisdom, quelqu’un a utilisé un prêt flash pour forcer une proposition de gouvernance. BProtocol, un service qui permet aux utilisateurs de mettre en commun des liquidités pour participer aux enchères de créances Maker, s’est avéré coupable.

La proposition aurait mis le projet sur liste blanche pour accéder à l’oracle des prix de Maker, ce qui permettrait d’exécuter des gardiens décentralisés.

BProtocol a utilisé la fonction de prêt flash de dYdX – un prêt non adossé qui n’est accordé que s’il est également retourné dans le même bloc. Cette exigence signifie que ses utilisateurs doivent avoir un chemin prédéfini pour l’argent qu’ils empruntent, et cela n’est utile que pour les opérations qui peuvent être effectuées instantanément.

Le membre de la communauté Maker Monetsupply a expliqué à Crypto que les contrats de gouvernance ne comportaient aucune période de blocage:

«Le système gouvernemental MKR actuel permet aux électeurs de verrouiller leurs jetons, de voter immédiatement pour adopter une proposition, puis de déverrouiller les jetons tous dans le même bloc.»

L’utilisation de prêts flash pour s’engager dans la gouvernance peut être considérée comme manipulatrice car l’argent est essentiellement gratuit. N’importe qui peut les utiliser pour exécuter ses propres propositions sans être partie prenante du Maker.

Le pouvoir de gouvernance est limité à la quantité de MKR contenue dans divers protocoles DeFi. Dans ce cas précis, MKR provenait d’Aave, mais jusqu’à 64 000 MKR d’une valeur de 34 millions de dollars sont disponibles pour des prêts flash. Cela suffit pour influencer au moins certaines des futures propositions de gouvernance.

Pour cette raison, la communauté engage des mesures de confinement d’urgence pour rendre l’exploitation plus difficile en attendant une solution plus définitive. Un délai de douze heures entre le passage des propositions et leur exécution – introduit pour permettre à la communauté de contester les votes malveillants – sera porté à 72 heures.

En outre, la communauté désactive les disjoncteurs qui permettraient à la gouvernance de désactiver les oracles et les liquidations, car ils pourraient être potentiellement abusés par des acteurs malveillants pour exploiter le système pour de l’argent.

Le cas qui a déclenché les alarmes était relativement mineur, le fondateur de BProtocol affirmant que «nous ne voulions pas faire de mal et qu’aucun mal n’a été fait». Il a ajouté que cela «visait à déclencher une discussion technique interne» et qu’il ne s’attendait pas à une réponse communautaire aussi spectaculaire.

Une proposition visant à résoudre le problème sous-jacent était en cours de discussion pendant au moins trois semaines, mais «cet incident l’a rendu beaucoup plus urgent», a déclaré Monetsupply.