分散型金融(DeFi)のメーカーダオに約370億円を盗み出せる抜け穴 指摘を受けてガバナンス投票開始【ニュース】

ソフトウェア開発者のミカ・ゾルトゥ(Micah Zoltu)氏が12月9日、分散型金融(DeFi)プロジェクト「メーカーダオ(MakerDAO)」のユーティリティトークン8万MKR(約43億5040万円)を元手に、同プロジェクトから約3億4000万ドル(約370億円)相当の仮想通貨イーサリアム(ETH)を盗み出す方法を解説した。これを受けて、メーカー財団がセキュリティ向上を目的としたガバナンス投票を開始した

ゾルトゥ氏は、ブログにおいて次のように主張した。

「Maker DAO v2(複数担保型Dai。Multi-Collateral Dai:MCDのこと)は、すべての担保、さらにCompound(コンパウンド)、Uniswap(ユニスワップ)はじめ、メーカーダオと何らかの形で連携しているシステムにおいて、敵対的なMKR保有者が担保を盗み出すような行為に対するセーフガード機能を備えている。しかし彼ら(メーカー財団)は、この機能を利用しない設定を採用した」

ゾルトゥ氏によると、豊富な資金を持つ悪意ある攻撃者からの攻撃(あるいは誤った内容のスマートコントラクト)に備え、MCDはセーフガード機能として強制シャットダウンやガバナンス遅延など実施する「ガバナンス・セキュリティ・モジュール(GSM)」を用意しているという。強制的な遅延発生により安全な期間を設け、悪意があるものかどうか検証できるようにしているそうだ。

ところが、メーカー財団が遅延時間を「0秒」に設定していることをゾルトゥ氏は発見した。このため記事冒頭に挙げた金額があれば、すべての担保を盗み出せる上、1兆件のDAI生成などあらゆることを行えると警告した。

コミュニティに問題修正の是非を問う

ゾルトゥ氏は、メーカー財団はこの問題をMCD運用開始前から認識しており、修正しないことを選択していると指摘。現状のガバナンス制御からの変更はないだろうと説明していたが、メーカー財団は今回の投票提案に踏み切った形だ。

コミュニティが今回の提案を支持した場合、GSMによる遅延は0秒から24時間に増加する。悪意のある攻撃に対する検証・対策に関し、一定の時間を確保できることになる。

翻訳・編集 コインテレグラフジャパン