MakerDAO对开发者指控的价值3.4亿美元的网络漏洞做出回应

虽然区块链以安全著称，但网络安全问题却是区块链行业挥之不去的噩梦。慢雾的数据显示，截止目前，全球区块链安全事件造成的损失已近85亿。在一次次安全事故中，交易所、钱包、DApp、公链都不能够独善其身。尽管如此，价值3.4亿美元的网络漏洞却还是让人感到触目惊心。

此前，软件开发者Micah Zoltu通过博客发表消息，指出任何拥有2000万美元资金的黑客，就能够对MakerDAO网络发起攻击，并且攻击成果可能是价值达3.4亿美元的ETH。面对这一消息，Maker基金会宣布了一系列针对安全的治理调查。

在12月9日的博客中，Maker基金会临时风险团队宣布了一系列针对投票系统的治理调查，其中一项调查针对Maker社区治理安全模块（GSM）是否应该从0秒升级到24小时。

对此，Zoltu认为：“Maker DAOv2本应在启动时提供安全措施，以防恶意MKR持有者窃取所有抵押品，并可能在此过程中盗取大量Uniswap交易所、Compound投行和其他与Maker集成的系统。但遗憾的是，他们决定不去这么做。”

Zoltu解释说，MakerDAO试图通过在每一份新合同被选中后实施GSM延迟来减轻恶意攻击的威胁。这种做法的本质是通过此安全期允许网络检查合同并确定其是否怀有恶意。

然而，在这一延迟期间内，却可能存在另一个漏洞。这就是一个拥有足够资金的恶意行为人，出现并投票通过他们自己的合同，计划窃取所有抵押品。Zoltu说，目前需要约8万个MKR代币或约4千1百万美元才能“做任何你想做的Maker合约”。这个数字确实庞大，却也不是不可能实现的目标。

Zoltu进一步声称，GSM延迟的值目前设置为0秒，这使得网络防御者不可能“防御富有但恶意的一方发起的攻击”。

针对Zoltu的声明，Maker基金会开始询问社区是否需要解决此类问题。尽管Zoltu在其博客中表示，Maker不愿意放弃即时治理控制来抵御此类攻击，但Maker基金会临时风险团队确实在这一问题上增加了一项民意调查。

如果引入治理安全模块（GSM）的提议通过，那么GSM延迟将从0小时增加到24小时，为防御者提供足够的时间来防止或反击恶意攻击。

链客点评：

安全与性能往往在IT应用中是一对矛盾，当我们在IT系统中应用了过多安全措施时，必然会拖慢系统的运行速度。在区块链系统普遍需要更高TPS的情况下，为解决一个可能存在的安全问题，而让系统可用性下降，确实是一个让人头疼的技术问题。这个问题的解决，可能取决于系统应用的行业，如果对安全近乎苛刻的金融、电信行业，我们相信安全需求会压倒性能损失。

撰文：Joeri Cant编译：邹震