Condividi questo articolo
La vulnerabilità "critica" di MakerDAO avrebbe potuto congelare i fondi degli elettori, affermano i revisori
La vulnerabilità rivelata questa settimana dalla MakerDAO Foundation avrebbe potuto mettere a repentaglio i fondi degli utenti, impedendo i prelievi dei token MKR .
Secondo la società di audit di sicurezza Zeppelin, una vulnerabilità critica sulla piattaforma di prestito programmatico MakerDAO avrebbe potuto rendere irrecuperabili i fondi degli utenti.
Scoperto nelle ultime settimane, MakerDAO ha emesso lunedì un appello urgente ai possessori di token della piattaforma MakerDAO, scrivendo suReddit:
La storia continua sotto
Non perderti un'altra storia.Iscriviti alla Newsletter Crypto Daybook Americas oggi. Vedi tutte le newsletter
"In collaborazione con Coinbase e Zeppelin, la Maker Foundation ha partecipato a un secondo round di audit del Maker Voting Contract. Durante questo processo, abbiamo scoperto la necessità di effettuare un aggiornamento critico... Ti consigliamo di spostare immediatamente il tuo MKR dal vecchio contratto al tuo portafoglio personale."
All'epoca, i detentori di token MKR non furono informati sulla natura esatta del problema, poiché la vulnerabilità avrebbe potuto comunque essere sfruttata da un aggressore se divulgata.
Giovedì, gli Zeppelin hanno rilasciatouna completa Dichiarazione informativadelineando come la vulnerabilità avrebbe potuto spostare i token utente e bloccarli in modo permanente all'interno del contratto di voto MakerDAO. Secondo il documento, la vulnerabilità è stata scoperta e analizzata tra il 22 e il 26 aprile, momento in cui il team MakerDAO è stato informato, con un contratto fisso soggetto a un audit il 2 maggio.
Un post separato sul subreddit MakerDAO ha discusso la vulnerabilità einformazioni condivise sul nuovo contratto di voto senza compromessi. "A causa dell'exploit, la consueta cadenza settimanale di Governance Polling e Executive Voting è stata sospesa, in quanto i titolari MKR hanno abbandonato il vecchio contratto", ha spiegato il post.
Facendo un passo indietro, MakerDAO è la piattaforma di prestito preminente per la popolare stablecoin DAI ancorata al dollaro. MakerDAO è anche una piattaforma di governance decentralizzata attraverso la quale i detentori di token MKR hanno il potere di votare ed eseguire modifiche al protocollo di prestito DAI .
"Il sistema di governance di MakerDAO funziona in questo modo: ci sono diverse proposte codificate come indirizzi Ethereum e le persone possono votare per ONE o per l'altra bloccando i loro token MKR nel contratto di voto principale", ha spiegato il responsabile della ricerca presso Zeppelin Alejo Salles a CoinDesk.
In sostanza, la vulnerabilità rivelata dal team Zeppelin ha messo a repentaglio i token MKR detenuti nel contratto di voto MakerDAO. Un aggressore avrebbe potuto ipoteticamente spostare i token puntati a favore di ONE proposta di governance MakerDAO su un'altra proposta concorrente e bloccarli per sempre.
Salles ha sottolineato a CoinDesk che i token MKR non potevano essere ritirati dal contratto di voto MakerDAO, ma semplicemente bloccati e spostati.
Ulteriori verifiche
Per quanto ne sa Zeppelin, questa vulnerabilità T è stata sfruttata sulla piattaforma MakerDAO.
Tuttavia, Salles ha osservato che aveva il potenziale per congelare di fatto 100 milioni di dollari in token MKR detenuti nel contratto di voto originale di MakerDAO.
"Questo contratto era molto centrale nel sistema MakerDAO. Aveva privilegi su molte altre cose", fa notare Salles a CoinDesk. "La sicurezza è molto delicata nel settore Cripto e in questo caso è stato possibile perché il team MakerDAO ha ancora fondi sufficienti per apportare la modifica".
In effetti, la fondazione non-profit MakerDAO Foundation detiene di gran lunga la quota maggiore di token MKR , con oltre il 25 percento della fornitura totale di 1 milione. Data la natura altamente sensibile della vulnerabilità di sicurezza, la fondazione MakerDAO ha sfruttato i fondi a sua disposizione per eseguire segretamente un cambio di stato senza una più ampia consapevolezza pubblica.
"In un sistema più decentralizzato, che è ciò che MakerDAO sarà nel NEAR futuro, questo sarebbe stato molto peggio", avverte Salles. "Perché devi coordinare tutte queste persone ma allo stesso tempo non aumentare troppa consapevolezza di ciò che sta accadendo. È un po' impossibile".
Il codice alla base del contratto di voto MakerDAO fa parte di una libreria di codice più ampia, completamente ispezionata nel 2017 dalla società di sicurezza Trail of Bits.
Alla domanda se Trail of Bits fosse a conoscenza della vulnerabilità divulgata oggi, il CEO Dan Guido ha affermato di no, aggiungendo però che dal 2017 "ci sono stati molti commit su quel codice specifico e su molte delle sue dipendenze".
Trail of Bits questo mese ha completato un nuovo audit sul codice MakerDAO tanto atteso per supportare DAI multi-collaterale.Come ha detto Guido a CoinDesk:
"Nel corso della nostra valutazione di DAI multi-collaterale, abbiamo scoperto due problemi di sicurezza di bassa gravità che sono sfuggiti all'identificazione tramite verifica. Il primo problema è sfuggito alla verifica a causa della dipendenza dell'attacco dal passare del tempo per realizzarlo. Il secondo problema era di natura economica e descriveva una strategia di attacco per abusare del sistema in base al suo comportamento corretto. Questi problemi sono stati risolti immediatamente da MakerDAO."
Diligenza dovuta
La revisione secondaria del contratto di voto MakerDAO da parte di Zeppelin è stata in realtà appaltata dall'exchange Criptovaluta Coinbase. Coinbase ha per qualche volta ha pianificato di abilitare un'interfaccia fluida con la piattaforma di voto MakerDAO per i possessori di token MKR .
"Abbiamo guidato l'audit come parte del nostro processo di due diligence nel supportare la capacità di voto MakerDAO all'interno del prodotto Coinbase Custody", ha affermato Alan Leung, responsabile della sicurezza per Coinbase Custody.
Leung ha spiegato che i clienti di Coinbase che detengono token MKR non si sentivano a loro agio nell'interagire direttamente con il protocollo di voto MakerDAO, dato che "T conoscevano il rischio o i rischi superavano l'atto della partecipazione".
Secondo Leung, parte degli sforzi di Coinbase nel supportare un audit di terze parti del codice di contatto per il voto di MakerDAO era quello di garantire che le funzionalità sviluppate su Coinbase per interfacciarsi con MakerDAO fossero sicure.
"La nostra visione è quella di fornire ai nostri clienti un canale sicuro per la partecipazione alla rete e, come parte di questo processo, abbiamo approfondito il funzionamento del contratto MakerDAO e il funzionamento del voto", ha affermato Leung a CoinDesk.
Dopo che la vulnerabilità è stata divulgata e risolta, Leung ha confermato a CoinDesk che l'intenzione di lanciare la funzionalità di voto MKR su Coinbase Custody rimane invariata.
"Abbiamo fatto i compiti per assicurarci che [la nostra interfaccia] sia il modo più sicuro per partecipare alla rete MakerDAO perché stiamo mettendo la nostra etichetta dietro l'azione", ha detto a CoinDesk.
Serraturaimmagine tramite Shutterstock
Di più per voi
Cosa sapere:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
La svolta ribassista di Bitcoin si approfondisce mentre 75 delle prime 100 monete scambiano al di sotto delle medie chiave; Nasdaq resiliente
La morsa ribassista delle criptovalute si stringe ulteriormente mentre 75 delle prime 100 monete vengono scambiate sotto le medie mobili semplici a 50 e 200 giorni.
What to know:
- 75 delle prime 100 criptovalute vengono scambiate al di sotto delle loro medie mobili semplici a 50 e 200 giorni.
- Le principali criptovalute come bitcoin, ether e solana stanno registrando performance inferiori rispetto alle medie chiave, compromettendo il sentimento di rischio.
- Solo otto delle prime 100 monete sono considerate ipervendute, indicando che la maggior parte delle monete potrebbe ancora avere margine per ulteriori ribassi.
