Stake DAO congela los mercados de vdCRV en Arbitrum tras la emisión de 5,4 billones de tokens sintéticos por parte de un atacante

Una laguna de acuñación infinita desencadena el exploit

La plataforma de finanzas descentralizadas (DeFi) Stake DAO confirmó el 27 de mayo que su protocolo en la red de capa 2 de Arbitrum fue objeto de un ataque, lo que permitió a una parte no autorizada acuñar de forma maliciosa billones de tokens sintéticos. Según las conclusiones preliminares de la empresa de seguridad de blockchain Blockaid, el atacante se aprovechó de una vulnerabilidad de acuñación infinita vinculada a la lógica de la bóveda vsdCRV de Stake DAO y al sistema automatizado de distribución de recompensas.

El contrato aceptó una transición de estado no válida, lo que provocó un grave fallo contable interno. Esta laguna permitió al atacante inflar la oferta de vsdCRV en 5,4 billones de unidades. Algunos informes sugieren que el atacante logró sustraer aproximadamente 91 000 dólares en activos digitales transferibles de los fondos de liquidez afectados antes de que se identificara y detuviera el problema.

Los principales colaboradores de Stake DAO actuaron con rapidez para mitigar daños mayores, anunciando que habían asegurado con éxito el respaldo de vsdCRV en la red principal de Ethereum. Gracias a la rápida contención, los responsables del protocolo confirmaron que el atacante no puede hacerse con ningún fondo de la red principal. Además, el equipo desactivó el puente vsdCRV, limitando con éxito el impacto económico de la vulnerabilidad al ecosistema de Arbitrum.

«Según nuestra evaluación actual, los rendimientos potenciados, Liquid Lockers, Votemarket y los préstamos de Stake DAO en Morpho no se han visto afectados», afirmó Stake DAO en un comunicado compartido a través de la plataforma de redes sociales X.

El protocolo señaló, sin embargo, que el mercado Arbitrum asdCRV Llamalend se va a cerrar definitivamente a raíz del incidente. Stake DAO ha aconsejado a los usuarios que no interactúen con los contratos vsdCRV y está instando a los depositantes de crvUSD a trasladar su capital a mercados Llamalend alternativos que no se hayan visto afectados.

Una coyuntura precaria para la seguridad de las DeFi

Se ha notificado a las fuerzas del orden, y Stake DAO ha afirmado que está colaborando con socios de seguridad externos para rastrear el flujo de los activos robados y llevar a cabo una auditoría forense exhaustiva de los contratos inteligentes comprometidos. El momento en que se produce el incidente coincide con el intento del ecosistema DeFi en general de rebatir una tesis viral popularizada por el cofundador de Openzeppelin, Manuel Aráoz, quien recientemente afirmó que «todo el DeFi es inseguro». La sombría valoración de Aráoz sorprendió a los participantes del sector, lo que obligó a un replanteamiento dentro de un sector ya fatigado por una oleada de exploits de protocolos y vulnerabilidades estructurales. El exploit de Stake DAO corrobora la tesis de Aráoz, lo que complica los esfuerzos del sector por restaurar la confianza de las instituciones y los inversores minoristas.

La tesis llevó a Openzeppelin a emitir un comunicado distanciándose de Aráoz, quien, según la empresa, abandonó la organización en 2019. Openzeppelin también abordó las principales preocupaciones planteadas por Aráoz, reconociendo que, si bien la inteligencia artificial es un vector de amenaza real, también es una poderosa herramienta defensiva cuando se utiliza «con rigor y el criterio experto de los seres humanos».

«Nuestros investigadores utilizan la IA a diario para detectar más problemas y casos extremos», afirmó Openzeppelin en un comunicado. «La respuesta al riesgo de la IA no es retirarse de las DeFi. Es una mayor seguridad». En cuanto a la reciente oleada de incidentes de seguridad, Openzeppelin insistió en que muchos de ellos pueden atribuirse a fallos de seguridad operativa, más que a errores en los contratos inteligentes.