Stake DAO jäädyttää Arbitrumin vsdCRV-markkinat hyökkääjän luotua 5,4 biljoonaa synteettistä tokenia

Infinite-Minting-aukko laukaisi hyökkäyksen

Hajautetun rahoituksen (DeFi) alusta Stake DAO vahvisti 27. toukokuuta, että sen Arbitrum-kerros 2 -verkossa toimiva protokolla joutui hyökkäyksen kohteeksi, jolloin luvaton osapuoli pystyi luomaan pahantahtoisesti biljoonia synteettisiä tokeneita. Blockchain-turvallisuusyritys Blockaidin alustavien havaintojen mukaan hyökkääjä hyödynsi äärettömän rahapainon haavoittuvuutta, joka liittyi Stake DAO:n vsdCRV-varastologiikkaan ja automatisoituun palkkioiden jakojärjestelmään.

Sopimus hyväksyi virheellisen tilanmuutoksen, mikä johti vakavaan sisäiseen kirjanpitovirheeseen. Tämän aukon ansiosta hyökkääjä pystyi lisäämään vsdCRV:n tarjontaa 5,4 biljoonalla yksiköllä. Joidenkin raporttien mukaan hyökkääjä onnistui siirtämään noin 91 000 dollaria siirrettäviä digitaalisia varoja kyseisistä likviditeettipoolista ennen kuin ongelma havaittiin ja pysäytettiin.

Stake DAO:n ydinkehittäjät ryhtyivät nopeasti toimenpiteisiin lisävahinkojen estämiseksi ja ilmoittivat onnistuneesti varmistaneensa vsdCRV:n tuen Ethereumin pääverkossa. Nopean torjunnan ansiosta protokollan edustajat vahvistivat, ettei hyökkääjä voi kaapata pääverkon varoja. Lisäksi tiimi poisti vsdCRV-sillan käytöstä, rajoittaen onnistuneesti hyökkäyksen taloudelliset vaikutukset Arbitrum-ekosysteemiin.

"Nykyisen arvion perusteella Boosted yields, Liquid Lockers, Votemarket ja Stake DAO:n lainananto Morphossa eivät ole kärsineet vahinkoa", Stake DAO totesi sosiaalisen median alustalla X jaetussa lausunnossa.

Protokolla totesi kuitenkin, että Arbitrumin asdCRV Llamalend -markkinat suljetaan pysyvästi tapahtuman seurauksena. Stake DAO on kehottanut käyttäjiä olemaan tekemättä mitään vsdCRV-sopimusten kanssa ja kehottaa crvUSD-tallettajia siirtämään pääomansa vaihtoehtoisiin, vaikutuksilta säästyneisiin Llamalend-markkinoihin.

DeFi-turvallisuuden vaarallinen käännekohta

Viranomaisille on ilmoitettu asiasta, ja Stake DAO ilmoitti tekevänsä yhteistyötä ulkoisten turvallisuuskumppaneiden kanssa varastettujen varojen kulun jäljittämiseksi ja vaarantuneiden älykkäiden sopimusten kattavan rikosteknisen tarkastuksen suorittamiseksi.

Tapaus sattui samaan aikaan, kun laajempi DeFi-ekosysteemi yrittää torjua Openzeppelin-yhtiön perustajan Manuel Aráozin levittämän viruksenomaisen teesin, jonka mukaan "kaikki DeFi on vaarallista". Aráozin synkkä arvio järkytti alan toimijoita ja pakotti tilinpäätökseen sektorilla, joka oli jo väsynyt protokollien hyväksikäyttöjen ja rakenteellisten haavoittuvuuksien aallosta. Stake DAO:n hyväksikäyttö korostaa Aráozin teoriaa ja vaikeuttaa alan pyrkimyksiä palauttaa institutionaalisten sijoittajien ja yksityissijoittajien luottamus.

Teesi sai Openzeppelinin julkaisemaan lausunnon, jossa se otti etäisyyttä Aráozista, jonka yhtiö ilmoitti jättäneen organisaation vuonna 2019. Openzeppelin käsitteli myös Aráozin esille tuomia keskeisiä huolenaiheita ja myönsi, että vaikka tekoäly on todellinen uhkatekijä, se on myös tehokas puolustustyökalu, kun sitä käytetään ”tiukasti ja asiantuntijoiden harkinnan mukaan”.

"Tutkijamme käyttävät tekoälyä päivittäin havaitsemaan enemmän ongelmia ja ääritapauksia", Openzeppelin totesi lausunnossaan. "Vastaus tekoälyn riskeihin ei ole vetäytyminen DeFi:stä. Se on parempi tietoturva."

Viitaten viimeaikaiseen tietoturvapoikkeamien aaltoon Openzeppelin korosti, että monet näistä voidaan jäljittää operatiivisiin tietoturvavirheisiin eikä älykkäiden sopimusten virheisiin.