ステーブルコインMakerDAO、運用上の致命的な脆弱性検出も迅速に対処

　分散システムのセキュリティ監査を行う米Zeppelinは5月10日、Makerが開発するステーブルコインMakerDAO（DAI）における致命的な脆弱性を報告した。本件について、Makerが現地時間5月6日に発表を行っており、問題箇所はすでに修正済みだ。今回はZeppelinとCoinbaseから、脆弱性の発覚から解消、発表に至るまでの経緯説明と技術的解説が行われた。

　Zeppelinは分散システムのコア開発やセキュリティ監査を行う米国企業。同社は米国最大手の仮想通貨交換所Coinbaseに対してセキュリティの監査を行った。このとき、Ethereumをベースとした米ドルペッグの分散型ステーブルコインMakerDAOに含まれる、重要なスマートコントラクトの一部に脆弱性があることを発見したという。

　Zeppelinの監査チームは現地時間4月22日にMakerDAOの脆弱性を発見し、検証を開始した。同26日、CoinbaseおよびMakerに問題を報告した。Makerは同30日に修正案を監査チームへ提出。監査チームは5月2日に修正版セキュリティ検証を終えた。その後、5月6日にMakerが脆弱性に関する発表を行った。そして5月9日、監査チームが脆弱性の技術的説明と経緯を報告した。

　脆弱性は、MakerDAOのGovernance vote（ガバナンス投票）と呼ばれるシステムに関連する。同機能はMakerDAOにおいて、Ethereum（ETH）や米ドルの相場変動リスクに対する基準などを変更する際に、同チェーン上で発行するMKRトークンを用いてユーザー投票を実施するというもの。悪用された場合、ガバナンス投票における投票が削除される、投票者のMKRトークンが永続的にロックされるなどの被害が生じる可能性があったという。

　ZeppelinとCoinbase、Makerは緊密に連携を取り、被害が生じる前に本件を迅速に解決したという。CoinbaseはZeppelinによる発表の補足資料を公開し、脆弱性に対する対処と各社との連携について詳細に報告している。同社はMakerと共に問題の発覚時からガバナンス投票の遅延、脆弱性に関するアドレスの監視などを実施し、ユーザーへの被害を積極的に防止したとのこと。

　なお、本稿では表面的な説明に留めるが、Zeppeinは、問題となったMakerDAOのDappHubライブラリ内スマートコントラクト「DSChief」に関して、脆弱性の生じるロジックとその対処を詳細に報告している。興味のある方は発表原文をご確認いただければ幸いだ。

⚠️ MakerDAO critical vulnerability technical description ⚠️
As previously announced, we found a critical vulnerability in the@MakerDAOgovernance system while working on an audit for the@coinbaseteam. Here's the full technical explanation of the issue.https://t.co/21CIXDj73w

— Zeppelin (@ZeppelinOrg)2019年5月9日