Pirater 340 millions de dollars en 15 secondes ? Découvrez MakerDAO (MKR) !
#DeFi – MakerDAO permet de mettre sous séquestre des ethers (ETH) en échange de stablecoins DAI (adossés au dollar américain). Un chercheur vient de publier sur une possible vulnérabilité critique : elle permettrait selon lui de siphonner l’intégralité des ETH mis sous séquestres !
340 millions de $ d’ETH à portée de hack ?
Comme nous l’expliquions plus en détail dans notre avis sur MakerDAO, ce système repose entièrement sur les smart contracts CDP, aujourd’hui appelés Vault. Ils permettent d’obtenir un « prêt » en équivalent dollar – via un stablecoin – en échange de la mise sous séquestres de cryptomonnaies.
Lire également : Qu’est-ce qu’un stablecoin ?
Les cryptos ainsi misent en jeu sont censées être verrouillées jusqu’à ce que la somme empruntée en DAI (le fameux stablecoin) soit remboursée dans le smart contract créé initialement.
Tutoriel : comment gagner 340 millions de dollars grâce à MakerDAO
Mais Micah Zoltu, un développeur de logiciel notamment impliqué dans Augur (REP), a décrit dans une publication une attaque globale possible contre MakerDAO qui permettrait de récupérer tous ces ETH verrouillés.
Il faudrait pour cela que l’attaquant suive les étapes suivantes :
- acquérir 80 000 MKR par tous les moyens possibles, les MKR étant les tokens régissant la gouvernance du système MakerDAO ;
- créer un contrat exécutif, programmé pour transférer toutes les garanties (ETH) du système à l’attaquant ;
- dans la même action/transaction, voter immédiatement pour le contrat ;
- toujours dans la même action, activer immédiatement le contrat ;
- obtenir les 340 millions de dollars en ETH qui étaient jusque là verrouillés dans le système.
Pour le développeur, la plus grande faiblesse détectée vient du paramètre actuel pour le délai de gouvernance qui est de zéro seconde, empêchant toute défense ou contre-mesure.
Une attaque réservée aux baleines avec un portefeuille bien fourni
Avec un token MKR à 500 $ l’unité au moment d’écrire, vous aurez vite compris que cette attaque n’est pas à la portée de toutes les bourses. Il faudrait posséder pour 40 millions de dollars de MKR pour l’exécuter. Micah Zoltu parle d’une possible astuce pour exécuter l’attaque en mettant en jeu « seulement » 40 000 MKR, cela reviendrait tout de même à 20 millions $ l’attaque.
« Il est intéressant de noter que la Maker Foundation pourrait attaquer le système de cette façon dès maintenant si elle le voulait. Pire encore, a16z [un fonds d’investissement crypto] aurait assez de MKR sous la main (…) », Micah Zoltu sur Medium
La Maker Foundation a de son côté déclaré que les choses ne seraient pas aussi simples. Selon son chef de l’ingénierie – Wouter Kampmann – interrogé par CoinDesk, tous les ETH verrouillés en contrepartie ne pourraient être transférés aussi simplement vers le seul wallet de l’attaquant.
« Vous ne pouvez pas simplement ignorer l’aspect économique de la question. Le problème avec le modèle [d’attaque] présenté vient de la faible incitation à le commettre » Wouter Kampmann
Outre l’impact sur l’investissement en tokens MKR de l’attaquant qui chuterait probablement dans les minutes suivant le piratage, la valeur du larcin en ETH chuterait aussi probablement. Il serait par ailleurs compliqué pour l’attaquant de trouver la liquidité suffisante pour se débarrasser du magot qui deviendrait un trésor avec bien peu de valeurs.
Beaucoup se souviennent encore du désastre de TheDAO, qui a provoqué la séparation d’ETH et Ethereum classic (ETC) et traumatisé la cryptosphère. Si MakerDAO a une importance bien moindre, nuls doutes qu’un tel piratage annihilerait bien des portfolio, mais surtout, la confiance des autorités de régulations dans le crypto écosystème et ce nouveau mouvement que constitue la Finance Décentralisée, aka #DeFi.