27. mail langes detsentraliseeritud finantsplatvorm Stake DAO Arbitrumi protokollis lõputu raha loomise rünnaku ohvriks. Stake DAO peamised arendajad suutsid aga kiiresti kindlustada tokenite tagatiseks olevad peavõrgu vahendid, sulgeda vsdCRV-silla ja rünnaku edukalt tõkestada.
Stake DAO külmutas Arbitrumi vsdCRV-turud pärast seda, kui ründaja lõi 5,4 triljonit sünteetilist tokenit
KIRJUTAS
JAGA
Peamised järeldused
- Stake DAO kannatas 27. mail Arbitrumis lõputu raha loomise rünnaku all, mille käigus ründaja viis väidetavalt ära 91 000 dollarit väärtuses digitaalseid varasid.
- Rikkumine õhutab viiruslikku arutelu DeFi turvalisuse üle, mille algatas Openzeppelini kaasasutaja Manuel Aráoz.
- Stake DAO sulgeb Arbitrumi asdCRV Llamalendi turu ja teeb koostööd õiguskaitseasutustega.
Lõputu raha trükkimise lünk põhjustab rünnaku
Detsentraliseeritud rahanduse (DeFi) platvorm Stake DAO kinnitas 27. mail, et selle protokoll Arbitrumi 2. kihi võrgustikus oli rünnaku sihtmärgiks, mis võimaldas volitamata osapoolel pahatahtlikult vermida triljoneid sünteetilisi tokeneid. Blockchaini turvalisusfirma Blockaid esialgsete järelduste kohaselt kasutas ründaja ära lõputu vermimise haavatavust, mis oli seotud Stake DAO vsdCRV hoiukambri loogika ja automatiseeritud preemiate jaotussüsteemiga.
Leping aktsepteeris kehtetut seisundi üleminekut, mis viis tõsise sisemise raamatupidamisveani. See lünk võimaldas ründajal suurendada vsdCRV pakkumist 5,4 triljoni ühiku võrra. Mõned aruanded viitavad sellele, et ründaja suutis enne probleemi avastamist ja peatamist kanda mõjutatud likviidsusfondidest ära ligikaudu 91 000 dollarit ülekantavaid digitaalseid varasid.
Stake DAO peamised panustajad tegutsesid kiiresti edasise kahju leevendamiseks, teatades, et nad on edukalt kindlustanud vsdCRV tagatise Ethereumi põhivõrgus. Kiire ohjeldamise tõttu kinnitasid protokolli ametnikud, et ründaja ei saa põhivõrgu vahendeid enda valdusse võtta. Lisaks deaktiveeris meeskond vsdCRV-silla, piirates edukalt ründe majandusliku mõju Arbitrumi ökosüsteemiga.
„Meie praeguse hinnangu kohaselt ei ole Boosted yields, Liquid Lockers, Votemarket ja Stake DAO laenud Morphos mõjutatud,“ teatas Stake DAO sotsiaalmeediaplatvormi X kaudu jagatud avalduses.
Protokoll märkis siiski, et Arbitrumi asdCRV Llamalend-turg suletakse pärast intsidenti lõplikult. Stake DAO on soovitanud kasutajatel mitte suhelda vsdCRV-lepingutega ja kutsub crvUSD hoiustajaid üles paigutama oma kapitali alternatiivsetele, mõjutamata Llamalend-turgudele.
DeFi turvalisuse ebakindel olukord
Õiguskaitseasutusi on teavitatud ning Stake DAO teatas, et teeb koostööd väliste turvapartneritega, et jälgida varastatud varade liikumist ja viia läbi ohustatud nutilepingute põhjalik forensiiline audit.
Intsident toimus ajal, mil laiem DeFi ökosüsteem püüab vastu astuda Openzeppelini asutaja Manuel Aráoz'i poolt populaarseks muudetud teesile, kes väitis hiljuti, et "kogu DeFi on ohtlik". Aráoz’i sünge hinnang šokeeris tööstuse osalisi, sundides arvestust tegema sektoris, mis oli juba väsinud protokollide ärakasutamise laine ja struktuuriliste haavatavuste tõttu. Stake DAO ärakasutamine rõhutab Aráoz’i teesi, muutes keerulisemaks tööstuse püüdlused taastada institutsioonide ja jaemüügi usaldus.
See tees ajendas Openzeppelinit avaldama avaldust, milles ettevõte distantseerus Aráozist, kes ettevõtte sõnul lahkus organisatsioonist 2019. aastal. Openzeppelin käsitles ka Aráoz'i tõstatatud peamisi mureküsimusi, tunnistades, et kuigi tehisintellekt on tõeline ohuallikas, on see ka võimas kaitsetööriist, kui seda kasutatakse „rangelt ja asjatundliku inimotsuse alusel“.
„Meie teadlased kasutavad igapäevaselt tehisintellekti, et avastada rohkem probleeme ja äärejuhtumeid,“ ütles Openzeppelin avalduses. „Vastus tehisintellekti riskile ei ole DeFi-st taganemine. See on parem turvalisus.“
Pöördudes hiljutise turvalisusjuhtumite laine poole, rõhutas Openzeppelin, et paljud neist on seotud pigem operatiivse turvalisuse puudujääkidega kui nutilepingute veadega.
