Stake DAO lukker Arbitrum-markederne for vsdCRV, efter at en hacker har udstedt 5,4 billioner syntetiske tokens

Smuthul i uendelig minting udløser udnyttelse

Den decentraliserede finansieringsplatform (DeFi) Stake DAO bekræftede den 27. maj, at dens protokol på Arbitrum layer-2-netværket var blevet udsat for et angreb, der gjorde det muligt for en uautoriseret part at udstede billioner af syntetiske tokens med ondsindet hensigt. Ifølge foreløbige konklusioner fra blockchain-sikkerhedsfirmaet Blockaid udnyttede angriberen en sårbarhed i forbindelse med uendelig udstedelse, der var knyttet til Stake DAO's vsdCRV-vault-logik og automatiserede belønningsfordelingssystem.

Kontrakten accepterede en ugyldig tilstandsovergang, hvilket førte til en alvorlig intern regnskabsfejl. Dette smuthul gjorde det muligt for angriberen at forøge udbuddet af vsdCRV med 5,4 billioner enheder. Nogle rapporter tyder på, at angriberen var i stand til at dræne ca. 91.000 dollars i overførbare digitale aktiver fra de berørte likviditetspuljer, før problemet blev identificeret og standset.

Stake DAO's kernebidragere handlede hurtigt for at afbøde yderligere skader og meddelte, at de med succes havde sikret vsdCRV-støtten på Ethereum-mainnet. På grund af den hurtige inddæmning bekræftede protokolansvarlige, at ingen mainnet-midler kan beslaglægges af angriberen. Derudover deaktiverede teamet vsdCRV-broen og begrænsede dermed med succes udnyttelsens økonomiske indvirkning til Arbitrum-økosystemet.

"Baseret på vores nuværende vurdering er Boosted yields, Liquid Lockers, Votemarket og Stake DAO-udlån på Morpho ikke påvirket," sagde Stake DAO i en erklæring, der blev delt via den sociale medieplatform X.

Protokollen bemærkede dog, at Arbitrum asdCRV Llamalend-markedet lukkes permanent i kølvandet på hændelsen. Stake DAO har rådet brugerne til ikke at interagere med vsdCRV-kontrakter og opfordrer crvUSD-indskydere til at flytte deres kapital til alternative, upåvirkede Llamalend-markeder.

Et usikkert tidspunkt for DeFi-sikkerhed

Retshåndhævende myndigheder er blevet underrettet, og Stake DAO oplyste, at de samarbejder med eksterne sikkerhedspartnere for at spore strømmen af stjålne aktiver og gennemføre en omfattende forensisk revision af de kompromitterede smartkontrakter.

Tidspunktet for hændelsen kommer, mens det bredere DeFi-økosystem forsøger at slå tilbage mod en viral tese, der er blevet populær af Openzeppelins medstifter Manuel Aráoz, som for nylig hævdede, at "alt DeFi er usikkert." Aráoz' dystre vurdering chokerede aktørerne i branchen og tvang til en opgørelse inden for en sektor, der allerede var udmattet af en bølge af protokoludnyttelser og strukturelle sårbarheder. Udnyttelsen af Stake DAO understreger Aráoz' tese og komplicerer branchens bestræbelser på at genoprette institutionel og privat tillid.

Tesen fik Openzeppelin til at udsende en erklæring, hvor de tog afstand fra Aráoz, som ifølge virksomheden forlod organisationen i 2019. Openzeppelin adresserede også de centrale bekymringer, som Aráoz havde rejst, og erkendte, at selvom kunstig intelligens er en reel trusselsvektor, er den også et kraftfuldt defensivt værktøj, når den bruges "med stringens og menneskelig ekspertvurdering."

"Vores forskere bruger AI dagligt til at opdage flere problemer og grænsetilfælde," sagde Openzeppelin i en erklæring. "Svaret på AI-risikoen er ikke at trække sig tilbage fra DeFi. Det er bedre sikkerhed."

Med hensyn til den seneste bølge af sikkerhedshændelser insisterede Openzeppelin på, at mange af disse kan spores tilbage til operationelle sikkerhedsfejl snarere end fejl i smarte kontrakter.