استیک دائو پس از آنکه مهاجم ۵٫۴ تریلیون توکن مصنوعی ضرب کرد، بازارهای vsdCRV آربیتروم را مسدود کرد

حفره «مینت بی‌نهایت» موجب سوءاستفاده می‌شود

پلتفرم مالی غیرمتمرکز (DeFi) Stake DAO در ۲۷ مه تأیید کرد که پروتکل آن روی شبکه لایه-۲ Arbitrum هدف یک سوءاستفاده قرار گرفته است؛ سوءاستفاده‌ای که به یک طرف غیرمجاز امکان داد به‌صورت مخرب تریلیون‌ها توکن مصنوعی مینت کند. طبق یافته‌های اولیه شرکت امنیت بلاکچین Blockaid، مهاجم از یک آسیب‌پذیری «مینت بی‌نهایت» مرتبط با منطق خزانه vsdCRV در Stake DAO و سیستم توزیع خودکار پاداش‌ها سوءاستفاده کرده است.

این قرارداد یک گذار حالت نامعتبر را پذیرفت که به یک شکست شدید در حسابداری داخلی منجر شد. این حفره به مهاجم اجازه داد عرضه vsdCRV را به میزان ۵.۴ تریلیون واحد افزایش دهد. برخی گزارش‌ها حاکی از آن است که مهاجم پیش از شناسایی و متوقف شدن مشکل، توانسته حدود ۹۱٬۰۰۰ دلار دارایی دیجیتال قابل‌انتقال را از استخرهای نقدینگیِ آسیب‌دیده تخلیه کند.

مشارکت‌کنندگان اصلی Stake DAO برای کاهش خسارت‌های بیشتر سریع وارد عمل شدند و اعلام کردند که با موفقیت پشتوانه vsdCRV را روی مین‌نت اتریوم ایمن کرده‌اند. به‌دلیل مهار سریع، مسئولان پروتکل تأیید کردند که هیچ وجوهی روی مین‌نت قابل تصاحب توسط مهاجم نیست. علاوه بر این، تیم بریج vsdCRV را غیرفعال کرد و با موفقیت اثر اقتصادی سوءاستفاده را به اکوسیستم Arbitrum محدود ساخت.

Stake DAO در بیانیه‌ای که از طریق پلتفرم اجتماعی X منتشر شد، گفت: «بر اساس ارزیابی فعلی ما، Boosted yields، Liquid Lockers، Votemarket و وام‌دهی Stake DAO روی Morpho تحت تأثیر قرار نگرفته‌اند.»

با این حال، این پروتکل خاطرنشان کرد که بازار Arbitrum asdCRV Llamalend پس از این حادثه به‌صورت دائمی از رده خارج می‌شود. Stake DAO به کاربران توصیه کرده با قراردادهای vsdCRV تعامل نکنند و از سپرده‌گذاران crvUSD خواسته سرمایه خود را به بازارهای جایگزین Llamalend که تحت تأثیر قرار نگرفته‌اند منتقل کنند.

مقطعی حساس برای امنیت دیفای

به نهادهای مجری قانون اطلاع داده شده است و Stake DAO اعلام کرد که با شرکای امنیتی خارجی برای ردیابی جریان دارایی‌های سرقت‌شده و انجام یک ممیزی جامع جرم‌یابی از قراردادهای هوشمندِ به‌خطر افتاده همکاری می‌کند.

زمان وقوع این حادثه در حالی است که اکوسیستم گسترده‌تر دیفای می‌کوشد در برابر یک تز ویروسی که توسط مانوئل آرااوز، هم‌بنیان‌گذار Openzeppelin، محبوب شده است مقابله کند؛ او اخیراً ادعا کرده بود که «تمام دیفای ناامن است.» ارزیابی تیره‌وتار آرااوز فعالان صنعت را شوکه کرد و آن‌ها را واداشت تا در بخشی که از موجی از سوءاستفاده‌های پروتکلی و آسیب‌پذیری‌های ساختاری خسته شده بود، دست به بازنگری جدی بزنند. سوءاستفاده Stake DAO بر تز آرااوز مهر تأیید می‌زند و تلاش‌های صنعت برای بازگرداندن اعتماد نهادی و خرد را پیچیده‌تر می‌کند.

این تز موجب شد Openzeppelin بیانیه‌ای صادر کند و از آرااوز فاصله بگیرد؛ شرکتی که گفت او در سال ۲۰۱۹ سازمان را ترک کرده است. Openzeppelin همچنین به نگرانی‌های کلیدی مطرح‌شده از سوی آرااوز پرداخت و پذیرفت که هرچند هوش مصنوعی یک بردار تهدید واقعی است، اما در عین حال وقتی «با سخت‌گیری و قضاوت انسانیِ متخصص» به کار گرفته شود، یک ابزار دفاعی قدرتمند نیز هست.

Openzeppelin در بیانیه‌ای گفت: «پژوهشگران ما روزانه از هوش مصنوعی استفاده می‌کنند تا مسائل و موارد لبه‌ای بیشتری را شناسایی کنند. پاسخ به ریسک هوش مصنوعی، عقب‌نشینی از دیفای نیست. پاسخ، امنیت بهتر است.»

Openzeppelin در اشاره به موج اخیر رویدادهای امنیتی اصرار کرد که بسیاری از آن‌ها به شکست‌های امنیت عملیاتی برمی‌گردند، نه باگ‌های قرارداد هوشمند.