27. května došlo na decentralizované finanční platformě Stake DAO k zneužití chyby umožňující nekonečné ražení tokenů v rámci protokolu Arbitrum. Klíčoví vývojáři Stake DAO však rychle zajistili prostředky v mainnetu, které slouží jako záruka za tokeny, odstavili most vsdCRV a podařilo se jim zneužití úspěšně zastavit.
Stake DAO pozastavilo trhy s vsdCRV na Arbitru poté, co útočník vygeneroval 5,4 bilionu syntetických tokenů
NAPSAL
SDÍLET
Hlavní body
- Stake DAO se 27. května stala obětí exploitu umožňujícího nekonečné ražení mincí na Arbitru, při kterém útočník údajně odcizil digitální aktiva v hodnotě 91 000 dolarů.
- Tento útok podnítil bouřlivou debatu o bezpečnosti DeFi, kterou odstartoval spoluzakladatel Openzeppelin Manuel Aráoz.
- Stake DAO ukončuje provoz trhu Arbitrum asdCRV Llamalend a spolupracuje s orgány činnými v trestním řízení.
Mezery v nekonečném ražení mincí vedou k zneužití
Platforma decentralizovaného financování (DeFi) Stake DAO 27. května potvrdila, že její protokol v síti Arbitrum layer-2 se stal terčem útoku, který neoprávněné straně umožnil zlovolně vytisknout biliony syntetických tokenů. Podle předběžných zjištění bezpečnostní firmy Blockaid útočník využil zranitelnosti nekonečného tisknutí spojené s logikou trezoru vsdCRV a automatizovaným systémem distribuce odměn Stake DAO.
Smlouva akceptovala neplatný přechod do jiného stavu, což vedlo k závažné interní účetní chybě. Tato mezera umožnila útočníkovi navýšit nabídku vsdCRV o 5,4 bilionu jednotek. Některé zprávy naznačují, že útočník byl schopen odčerpat přibližně 91 000 dolarů v převoditelných digitálních aktivech z postižených likviditních fondů, než byl problém identifikován a zastaven.
Hlavní přispěvatelé Stake DAO rychle zasáhli, aby zmírnili další škody, a oznámili, že úspěšně zajistili krytí vsdCRV na mainnetu Ethereum. Díky rychlému zvládnutí situace představitelé protokolu potvrdili, že útočník nemůže zabavit žádné prostředky z mainnetu. Tým navíc deaktivoval most vsdCRV, čímž úspěšně omezil ekonomický dopad exploitu na ekosystém Arbitrum.
„Na základě našeho aktuálního posouzení nejsou ovlivněny výnosy Boosted, Liquid Lockers, Votemarket a půjčky Stake DAO na Morpho,“ uvedlo Stake DAO v prohlášení sdíleném prostřednictvím sociální platformy X.
Protokol však poznamenal, že trh Arbitrum asdCRV Llamalend bude v důsledku incidentu trvale ukončen. Stake DAO doporučil uživatelům, aby neinteragovali se smlouvami vsdCRV, a naléhavě žádá vkladatele crvUSD, aby přesunuli svůj kapitál na alternativní, neovlivněné trhy Llamalend.
Nejistá situace pro bezpečnost DeFi
Byly informovány orgány činné v trestním řízení a Stake DAO uvedlo, že spolupracuje s externími bezpečnostními partnery na sledování toku odcizených aktiv a provádění komplexního forenzního auditu napadených smart kontraktů.
K incidentu došlo v době, kdy se širší ekosystém DeFi snaží vyvrátit virální tezi popularizovanou spoluzakladatelem Openzeppelinu Manuelem Aráozem, který nedávno prohlásil, že „veškeré DeFi je nebezpečné“. Aráozovo pesimistické hodnocení šokovalo účastníky odvětví a donutilo k zúčtování v sektoru, který je již unavený vlnou zneužití protokolů a strukturálních zranitelností. Zneužití Stake DAO podtrhuje Aráozovu tezi a komplikuje snahy odvětví o obnovení důvěry institucí a retailových investorů.
Tato teze přiměla Openzeppelin k vydání prohlášení, ve kterém se distancuje od Aráoze, který podle společnosti opustil organizaci v roce 2019. Openzeppelin se také zabýval klíčovými obavami vznesenými Aráozem a uznal, že ačkoli je umělá inteligence skutečným vektorem hrozby, je také mocným obranným nástrojem, pokud je používána „s důsledností a odborným lidským úsudkem“.
„Naši výzkumníci používají AI denně k odhalování dalších problémů a okrajových případů,“ uvedla společnost Openzeppelin ve svém prohlášení. „Odpovědí na riziko AI není ústup od DeFi. Je to lepší zabezpečení.“
Pokud jde o nedávnou vlnu bezpečnostních incidentů, společnost Openzeppelin trvala na tom, že mnoho z nich lze vysledovat spíše k selháním provozní bezpečnosti než k chybám ve smart kontraktech.
