Stake DAO suspend les marchés vsdCRV sur Arbitrum après qu'un pirate a émis 5,4 billions de jetons synthétiques

Une faille de frappe infinie déclenche une exploitation

La plateforme de finance décentralisée (DeFi) Stake DAO a confirmé le 27 mai que son protocole sur le réseau Arbitrum de couche 2 avait été la cible d’une attaque, permettant à une partie non autorisée de frapper de manière malveillante des trillions de jetons synthétiques. Selon les conclusions préliminaires de la société de sécurité blockchain Blockaid, l’attaquant a exploité une vulnérabilité de frappe infinie liée à la logique du coffre-fort vsdCRV de Stake DAO et à son système automatisé de distribution de récompenses.

Le contrat a accepté une transition d'état invalide, entraînant une grave défaillance comptable interne. Cette faille a permis à l'attaquant d'augmenter l'offre de vsdCRV de 5,4 billions d'unités. Certains rapports suggèrent que l'attaquant a pu détourner environ 91 000 dollars d'actifs numériques transférables des pools de liquidité affectés avant que le problème ne soit identifié et stoppé.

Les principaux contributeurs de Stake DAO ont agi rapidement pour limiter les dégâts, annonçant qu’ils avaient réussi à sécuriser la couverture du vsdCRV sur le réseau principal Ethereum. Grâce à cette intervention rapide, les responsables du protocole ont confirmé qu’aucun fonds du réseau principal ne pouvait être saisi par l’attaquant. De plus, l’équipe a désactivé le pont vsdCRV, limitant ainsi avec succès l’impact économique de l’exploitation à l’écosystème Arbitrum.

« D'après notre évaluation actuelle, les rendements Boosted, les Liquid Lockers, Votemarket et les prêts Stake DAO sur Morpho ne sont pas affectés », a déclaré Stake DAO dans un communiqué partagé via la plateforme de réseaux sociaux X.

Le protocole a toutefois noté que le marché Arbitrum asdCRV Llamalend allait être définitivement fermé à la suite de l’incident. Stake DAO a conseillé aux utilisateurs de ne pas interagir avec les contrats vsdCRV et exhorte les déposants de crvUSD à transférer leurs capitaux vers d’autres marchés Llamalend non affectés.

Une situation précaire pour la sécurité de la DeFi

Les forces de l'ordre ont été informées, et Stake DAO a déclaré collaborer avec des partenaires de sécurité externes pour suivre le flux des actifs volés et mener un audit forensic complet des contrats intelligents compromis. Cet incident survient alors que l'écosystème DeFi dans son ensemble tente de contrer une thèse virale popularisée par Manuel Aráoz, cofondateur d'Openzeppelin, qui a récemment affirmé que « toute la DeFi est dangereuse ». L'évaluation pessimiste d'Aráoz a stupéfié les acteurs du secteur, forçant une remise en question au sein d'un secteur déjà épuisé par une vague d'exploits de protocoles et de vulnérabilités structurelles. L'exploit de Stake DAO vient étayer la thèse d'Aráoz, compliquant les efforts de l'industrie pour restaurer la confiance des investisseurs institutionnels et particuliers.

Cette thèse a incité Openzeppelin à publier une déclaration se distanciant d’Aráoz, qui, selon la société, a quitté l’organisation en 2019. Openzeppelin a également répondu aux principales préoccupations soulevées par Aráoz, reconnaissant que si l’intelligence artificielle est un vecteur de menace réel, elle constitue également un puissant outil défensif lorsqu’elle est utilisée « avec rigueur et un jugement humain expert ».

« Nos chercheurs utilisent quotidiennement l'IA pour détecter davantage de problèmes et de cas limites », a déclaré Openzeppelin dans un communiqué. « La réponse au risque lié à l'IA n'est pas de se détourner de la DeFi. C'est une meilleure sécurité. » Abordant la récente vague d'incidents de sécurité, Openzeppelin a insisté sur le fait que bon nombre d'entre eux peuvent être attribués à des défaillances de sécurité opérationnelle, plutôt qu'à des bogues dans les contrats intelligents.