Stake DAO sperrt Arbitrum-vdsCRV-Märkte, nachdem ein Angreifer synthetische Token im Wert von 5,4 Billionen geprägt hat

Lücke beim „Infinite Minting“ löst Exploit aus

Die DeFi-Plattform Stake DAO bestätigte am 27. Mai, dass ihr Protokoll auf dem Arbitrum-Layer-2-Netzwerk Ziel eines Exploits wurde, der es einem Unbefugten ermöglichte, böswillig Billionen synthetischer Token zu prägen. Nach vorläufigen Erkenntnissen des Blockchain-Sicherheitsunternehmens Blockaid nutzte der Angreifer eine Schwachstelle für unendliches Minting aus, die mit der vsdCRV-Vault-Logik und dem automatisierten Belohnungsverteilungssystem von Stake DAO zusammenhing.

Der Vertrag akzeptierte einen ungültigen Zustandsübergang, was zu einem schwerwiegenden internen Abrechnungsfehler führte. Diese Lücke ermöglichte es dem Angreifer, das Angebot an vsdCRV um 5,4 Billionen Einheiten aufzublähen. Einigen Berichten zufolge gelang es dem Angreifer, etwa 91.000 US-Dollar an übertragbaren digitalen Vermögenswerten aus den betroffenen Liquiditätspools abzuziehen, bevor das Problem erkannt und gestoppt wurde.

Die Kernmitglieder von Stake DAO handelten schnell, um weiteren Schaden zu begrenzen, und gaben bekannt, dass sie die vsdCRV-Absicherung im Ethereum-Mainnet erfolgreich gesichert hätten. Aufgrund der raschen Eindämmung bestätigten die Protokollverantwortlichen, dass keine Mainnet-Gelder vom Angreifer erbeutet werden können. Darüber hinaus deaktivierte das Team die vsdCRV-Bridge und beschränkte so die wirtschaftlichen Auswirkungen des Exploits erfolgreich auf das Arbitrum-Ökosystem.

„Nach unserer aktuellen Einschätzung sind Boosted Yields, Liquid Lockers, Votemarket und die Stake DAO-Kreditvergabe auf Morpho nicht betroffen“, erklärte Stake DAO in einer über die Social-Media-Plattform X geteilten Stellungnahme.

Das Protokoll wies jedoch darauf hin, dass der Arbitrum-asdCRV-Llamalend-Markt infolge des Vorfalls dauerhaft eingestellt wird. Stake DAO hat den Nutzern geraten, nicht mit vsdCRV-Verträgen zu interagieren, und fordert crvUSD-Einleger dringend auf, ihr Kapital auf alternative, nicht betroffene Llamalend-Märkte zu verlagern.

Eine prekäre Situation für die DeFi-Sicherheit

Die Strafverfolgungsbehörden wurden benachrichtigt, und Stake DAO gab bekannt, dass es mit externen Sicherheitspartnern zusammenarbeitet, um den Fluss der gestohlenen Vermögenswerte nachzuverfolgen und eine umfassende forensische Prüfung der kompromittierten Smart Contracts durchzuführen. Der Zeitpunkt des Vorfalls fällt in eine Zeit, in der das gesamte DeFi-Ökosystem versucht, sich gegen eine virale These zu wehren, die von Openzeppelin-Mitbegründer Manuel Aráoz populär gemacht wurde, der kürzlich behauptete, dass „alle DeFi unsicher ist“. Aráoz’ düstere Einschätzung schockierte die Branchenakteure und zwang zu einer Neubewertung innerhalb eines Sektors, der bereits durch eine Welle von Protokoll-Exploits und strukturellen Schwachstellen erschöpft ist. Der Stake-DAO-Exploit untermauert Aráoz’ These und erschwert die Bemühungen der Branche, das Vertrauen von institutionellen Anlegern und Privatanlegern wiederherzustellen.

Die These veranlasste Openzeppelin dazu, eine Erklärung abzugeben, in der sich das Unternehmen von Aráoz distanzierte, der laut eigenen Angaben die Organisation bereits 2019 verlassen hatte. Openzeppelin ging auch auf die von Aráoz vorgebrachten zentralen Bedenken ein und räumte ein, dass künstliche Intelligenz zwar ein echter Bedrohungsvektor sei, aber auch ein mächtiges Verteidigungsinstrument darstelle, wenn sie „mit Strenge und fachkundigem menschlichem Urteilsvermögen“ eingesetzt werde.

„Unsere Forscher nutzen KI täglich, um mehr Probleme und Randfälle aufzudecken“, erklärte Openzeppelin in einer Stellungnahme. „Die Antwort auf KI-Risiken ist nicht der Rückzug aus DeFi. Es ist bessere Sicherheit.“ In Bezug auf die jüngste Flut von Sicherheitsvorfällen betonte Openzeppelin, dass viele davon auf operative Sicherheitsmängel zurückzuführen seien und nicht auf Fehler in Smart Contracts.