La comunidad de Maker lucha por corregir una vulnerabilidad de larga data de los préstamos flash

La comunidad MakerDAO (MKR) está implementando medidas urgentes para evitar la manipulación de votos a través de préstamos flash. Esto fue precipitado por lo que probablemente sea la primera instancia de la función que se utiliza para influir en una votación de gobernanza de DeFi el 26 de octubre.

Según una publicación hecha por el miembro de la comunidad LongForWisdom, alguien usó un préstamo flash para forzar una propuesta de gobierno. BProtocol, un servicio que permite a los usuarios reunir liquidez para unirse a las subastas de deuda de Maker, se presentó como el culpable.

La propuesta habría incluido el proyecto en la lista blanca para acceder al oráculo de precios de Maker, lo que permitiría ejecutar cuidadores descentralizados.

BProtocol utilizó la función de préstamo flash de dYdX, un préstamo sin respaldo que solo se otorga si también se devuelve dentro del mismo bloque. Este requisito significa que sus usuarios deben tener una ruta predefinida para el dinero que piden prestado, y solo es útil para operaciones que se pueden completar instantáneamente.

Monetsupply, miembro de la comunidad Maker, explicó a Cointelegraph que los contratos de gobierno no incluían ningún período de bloqueo:

«El actual sistema de gobierno de MKR permite a los votantes bloquear sus tokens, votar inmediatamente para aprobar una propuesta y luego desbloquear todos los tokens en el mismo bloque».

El uso de préstamos flash para participar en la gobernanza puede considerarse manipulador porque el dinero es esencialmente gratuito. Cualquiera podría utilizarlos para ejecutar sus propias propuestas sin ser un actor de Maker.

El poder de gobernanza se limita a la cantidad de MKR que contienen varios protocolos DeFi. En este caso específico, MKR se obtuvo de Aave, pero hay disponibles hasta 64,000 MKR por un valor de USD 34 millones para préstamos flash. Esto es suficiente para influir al menos en algunas de las futuras propuestas de gobernanza.

Debido a esto, la comunidad está adoptando medidas de contención de emergencia para dificultar la explotación mientras esperan una solución más definitiva. Un retraso de doce horas entre la aprobación y ejecución de las propuestas, introducido para permitir que la comunidad impugne los votos maliciosos, se extenderá a 72 horas.

Además, la comunidad está desactivando los puntos de quiebre que permitirían al gobierno apagar oráculos y liquidaciones, ya que podrían ser potencialmente abusados por actores malintencionados para explotar el sistema por dinero.

El caso que hizo sonar las alarmas fue relativamente menor, y el fundador de BProtocol dijo: «no pretendíamos hacer daño y no se hizo ningún daño». Además, sugirió que esto tenía como objetivo «desencadenar una discusión técnica interna» y que no esperaba una respuesta comunitaria tan dramática.

Se estuvo discutiendo una propuesta para solucionar el problema subyacente durante al menos tres semanas, pero «este incidente lo hizo mucho más urgente», dijo Monetsupply.

Una solución relativamente simple implica medir el poder de voto de un usuario a partir de los tokens bloqueados en el bloque anterior, frustrando cualquier ataque basado en préstamos flash. Se espera que la Fundación Maker agregue pronto esta solución, aunque aún no se han anunciado fechas límite concretas.

Algunos en la comunidad ven este incidente como algo bueno, ya que fue un problema de larga data que «debería haberse solucionado antes», dijo el miembro del foro TheoRochaix. Como parece que no se ha hecho ningún daño, es una lección mucho menos costosa que el fracaso de la subasta del Jueves Negro.

Sigue leyendo: