北京時(shí)間 2019年05月07日，區(qū)塊鏈安全公司 Zeppelin 對(duì)以太坊上的 DeFi 明星項(xiàng)目 MakerDAO 發(fā)出安全預(yù)警，宣稱其治理合約存在安全漏洞，希望已

北京時(shí)間 2019年05月07日，區(qū)塊鏈安全公司 Zeppelin 對(duì)以太坊上的 DeFi 明星項(xiàng)目 MakerDAO 發(fā)出安全預(yù)警，宣稱其治理合約存在安全漏洞，希望已鎖倉參與投票的用戶盡快解鎖 MKR 提并出。MakerDAO 的開發(fā)者 Maker 公司亦確認(rèn)了漏洞存在，并上線了新的治理合約，并宣稱漏洞已修復(fù)。

該安全威脅曝出后，PeckShield 全程追蹤了 MKR 代幣的轉(zhuǎn)移情況，并多次向社區(qū)發(fā)出預(yù)警，呼吁 MKR 代幣持有者立即轉(zhuǎn)移舊合約的 MKR 代幣。截止目前，絕大多數(shù)的 MKR 代幣已經(jīng)完成了轉(zhuǎn)移，舊治理合約中尚有 2,463 個(gè) MKR 代幣(價(jià)值約 128萬美元)待轉(zhuǎn)移。

05月07日當(dāng)天，經(jīng) PeckShield 獨(dú)立研究發(fā)現(xiàn)，確認(rèn)了該漏洞的存在(我們命名為 itchy DAO)，具體而言：由于該治理合約實(shí)現(xiàn)的投票機(jī)制(vote(bytes32))存在某種缺陷，允許投票給尚不存在的 slate(但包含有正在投票的提案)。 等用戶投票后，攻擊者可以惡意調(diào)用 free()退出，達(dá)到減掉有效提案的合法票數(shù)，并同時(shí)鎖死投票人的 MKR 代幣。

次日05月08日，PeckShield 緊急和 Maker 公司同步了漏洞細(xì)節(jié)，05月10日凌晨，MakerDAO 公開了新版合約。Zeppelin 和 PeckShield 也各自獨(dú)立完成了對(duì)其新合約的審計(jì)，確定新版本修復(fù)了該漏洞。

在此我們公布漏洞細(xì)節(jié)與攻擊手法，也希望有引用此第三方庫合約的其它 DApp 能盡快修復(fù)。

細(xì)節(jié)

在 MakerDAO 的設(shè)計(jì)里，用戶是可以通過投票來參與其治理機(jī)制，詳情可參照 DAO 的 FAQ。

以下是關(guān)于 itchy DAO 的細(xì)節(jié)，用戶可以通過 lock / free 來將手上的 MKR 鎖定并投票或是取消投票：

在 lock 鎖定 MKR 之后，可以對(duì)一個(gè)或多個(gè)提案 (address 數(shù)組) 進(jìn)行投票：

注意到這里有兩個(gè) vote 函數(shù)，兩者的傳參不一樣 (address 數(shù)組與 byte32)，

而 vote(address[] yays) 最終亦會(huì)調(diào)用 vote(bytes32 slate)，其大致邏輯如下圖所示：

簡單來說，兩個(gè) vote 殊途同歸，最后調(diào)用 addWeight 將鎖住的票投入對(duì)應(yīng)提案：

可惜的是，由于合約設(shè)計(jì)上失誤，讓攻擊者有機(jī)會(huì)透過一系列動(dòng)作，來惡意操控投票結(jié)果，甚致讓鎖定的 MKR 無法取出。

這里我們假設(shè)有一個(gè)從未投過票的黑客打算開始攻擊：

1. 調(diào)用 lock() 鎖倉 MKR，此時(shí) deposits[msg.sender] 會(huì)存入鎖住的額度。

2. 此時(shí)黑客可以線下預(yù)先算好要攻擊的提案并預(yù)先計(jì)算好哈希值，拿來做為步驟 3 的傳參，因?yàn)?slate 其實(shí)只是 address 數(shù)組的 sha3。

這里要注意挑選的攻擊目標(biāo)組合必須還不存在于 slates[] 中 (否則攻擊便會(huì)失敗)，黑客亦可以自己提出一個(gè)新提案來加入組合計(jì)算，如此便可以確定這個(gè)組合必定不存在。

3. 調(diào)用 vote(bytes32 slate)，因?yàn)?slate 其實(shí)只是 address 數(shù)組的 sha3，黑客可以線下預(yù)先算好要攻擊的提案后傳入。

這時(shí)因?yàn)?votes[msg.sender] 還未賦值，所以 subWeight() 會(huì)直接返回。接下來黑客傳入的 sha3(slate) 會(huì)存入 votes[msg.sender]，之后調(diào)用 addWeight()。從上方的代碼我們可以看到，addWeight() 是透過 slates[slate] 取得提案數(shù)組，此時(shí) slates[slate] 獲取到的一樣是未賦值的初始數(shù)組，所以 for 循環(huán)不會(huì)執(zhí)行(由于 yays.length = 0)

4. 調(diào)用 etch() 將目標(biāo)提案數(shù)組傳入。注意 etch() 與兩個(gè) vote() 函數(shù)都是 public，所以外部可以隨意調(diào)用。這時(shí) slates[hash] 就會(huì)存入對(duì)應(yīng)的提案數(shù)組。

5. 調(diào)用 free() 解除鎖倉。這時(shí)會(huì)分成以下兩步:

· deposits[msg.sender] = sub(deposits[msg.sender], wad)

解鎖黑客在 1. 的鎖倉

· subWeight(wad, votes[msg.sender])

從對(duì)應(yīng)提案中扣掉黑客的票數(shù)，然而從頭到尾其實(shí)攻擊者都沒有真正為它們投過票

從上面的分析我們了解，黑客能透過這種攻擊造成以下可能影響：

一、惡意操控投票結(jié)果

二、因?yàn)楹诳皖A(yù)先扣掉部份票數(shù)，導(dǎo)致真正的投票者有可能無法解除鎖倉

時(shí)間軸

關(guān)鍵詞： MakerDAO 治理合約 投票機(jī)制